В 2019 году кибервойна разворачивается на всех континентах одновременно.
От экспертов поступают сообщения о вредоносных кампаниях, которые нацелены не на абстрактные корпорации и данные, а конкретно на умные устройства и производства, от которых зависит экономика.
Так, SecNiche Security Labs докладывают про неизвестный ранее ботнет Gucci, который заражает oT-устройства для проведения DDoS-атак. Этот зловред постоянно дорабатывается, и его могут, как швейцарский нож, оснастить практически любым вредоносным функционалом.
Уже сегодня зараженный Gucci компьютер может вести как целевые, так и широкие атаки, поражая устройства на базе таких архитектур, как ARM, x86, MIPS, PPC, M68K. Каждый бот поддерживает связь с управляющим сервером на TCP-порту 5555 (Telnet). Код зловреда обфусцирован и труден для исследования. Проследить зловред удалось до сервера в Нидерландах.
А что же в это время происходит за океаном, в благословенных Штатах? Там киберпреступники нацелились на нефтянку, сердце и кровь первой экономики мира.
Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее уже был замечен в атаках против компаний электроэнергетического сектора.
Эксперты Netskope сообщают, что атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Не факт, тем не менее, что сам провайдер об этом в курсе, а не используется «втемную».
Adwind RAT в настоящее время предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Этот вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.
Данный вредонос также обфусцирован, чтобы его было сложно задетектировать и исследовать. Зловред использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.
Читайте также на АКБ:
Wannaбудущее: новое поколение вирусов шифрует, шпионит и крадет деньги одновременно
Золото Рейна: кибератака остановила заводы главного производителя вооружений в ЕС