Хитрый троянец Локи вскрывает заводы Штатов

Опубликовано at 18:23
13 0

Год продолжает катиться вперед, и трояны продолжают стопорить производства. Благо больших усилий сегодня это не требует, с нынешними продвинутыми вредоносами и не такими продвинутыми в плане кибербезопасности сотрудниками заводов.

Злоумышленники доставили зловреда LokiBot (шпион-троян) в инфраструктуру предприятия с помощью вредоносного письма с email-адреса одного из контрагентов предприятия. Вообще через почту сейчас происходит подавляющее большинство таких взломов.

Впервые LokiBot попал на радары ИБ-специалистов в 2015 году. Создатели трояна, которого не следует путать с одноименным Android-зловредом (тоже весьма выдающимся), обеспечили ему возможность красть информацию о зараженной системе, учетные данные электронных кошельков, браузеров, почтовых клиентов и т. д. Программа также умеет отслеживать и записывать нажатия клавиш, т.е. функционировать как полноценный кейлоггер.

Текущую кампанию LokiBot обнаружили в конце августа. Она была построена на более традиционных методах — сотрудник организации получил вредоносное электронное письмо. Отправитель сообщения ссылался на отсутствие своего коллеги и просил срочно просмотреть файл во вложении.

Злоумышленники отнеслись к содержанию письма весьма небрежно (или намеренно хотели поиздеваться, продемонстрировав глупость сотрудников предприятия). Так, в тексте письма злоумышленники упоминали один документ, тогда как во вложении находился другой. Файл зловреда, скрывавшийся в архиве, назывался Dora Explorer Games. Это название отсылает к героине детского мультфильма Dora the Explorer и не очень подходит для целевой атаки на промышленную организацию. Тем не менее, получивший письмо сотрудник не обратил на эти нестыковки внимания и запустил зловреда. Последствия инцидента компания оставила в секрете.

В 2019 году произошло сразу несколько крупных кибератак на промышленные предприятия (и у АКБ была целая серия материалов на эту тему). Некоторые наиболее заметные:

Шифровальщик LockerGoga атаковал норвежскую компанию Norsk Hydro, вынудив ее остановить процессы на производственных участках в нескольких странах. Через несколько дней этот же зловред проник на химические предприятия в США, после чего IT-специалисты потратили несколько недель, чтобы вернуть инфраструктуру в рабочее состояние.

Позднее стало известно о проблемах на заводе в Японии, которые были связаны с активностью зловреда-криптоджекера. Пострадало около 100 компьютеров, а обороты предприятия в результате инцидента упали на 60%.

На Ближнем Востоке ИБ-эксперты обнаружили новую группировку Hexane/Lyceum, которая активно атакует нефтегазовую отрасль. Преступники взламывают телекоммуникационные компании и проводят MitM-атаки с использованием авторского вредоносного ПО.

Эксперты АКБ хотели бы добавить следующий забавный факт: С помощью демонстрации вот такой картинки (стеганография!) вредонос LokiBot получал команду на распаковку в оперативной памяти зараженного устройства, а затем начинал воровать данные.

Читайте также на АКБ:

Кто ты, LockerGoga, гроза заводов? Вайпер, троян, вымогатель?

Хакеры вырубили еще один завод – теперь японский

Ястребиная ярость кейлоггера стопорит заводы и фирмы по всей планете

Подписываемся, следим @CyberAgency

Related Post

Хиллари Клинтон поддержала запуск новой медиа-платформы, которая затем подверглась хакерской атаке

Опубликовано - 05.09.2017 0
Клинтон удивила своих сторонников тем, что объявила о своей личной поддержке нового и относительно неизвестного веб-сайта под названием Verrit. Его…

Пан или провал: Цитаты великих чиновников на Гайдаровском форуме

Опубликовано - 18.01.2018 0
Новая крылатая фраза от Дмитрия Медведева, увлечение молодых девушек фермами, боль Центробанка и не только. IX Гайдаровский форум запомнится неожиданными…

Zerolink запускает тест на анонимность транзакций

Опубликовано - 19.12.2017 0
Zerolink, который использует решение для микширования монет на основе Coinjoin, объявил о проведении широкомасштабного теста анонимности. Благодаря стресс-тестированию Zerolink, разработчик…