Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс

Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс
Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс
Государственные хакеры вступают в новую эпоху атак с вымогательскими вирусами.

Эксперты из Unit 42 выяснили, что хакерская группа Jumpy Pisces, имеющая связи с разведкой Северной Кореи, теперь объединилась с группой, занимающейся распространением программы-вымогателя Play (Fiddling Scorpius).

Ранее Jumpy Pisces (Andariel, Onyx Sleet) была известна как группа кибершпионов, но теперь, похоже, она начала помогать киберпреступникам в распространении вирусов, используемых для вымогательства. Это первая зафиксированная кооперация между северокорейскими хакерами и иностранной кибергруппой, работающей с программами-вымогателями.

Расследование конкретного случая показало, что впервые хакеры получили доступ к атакованной сети в мае 2024 года, используя скомпрометированный аккаунт сотрудника компании. Доступ позволил Jumpy Pisces постепенно заразить другие компьютеры сети, распространяя через них вирусы Sliver и DTrack. Группировка использовала данные инструменты для слежки и контроля над сетью на протяжении нескольких месяцев, скрывая свои действия. Основная атака началась в сентябре 2024 года, когда группа запустила в сети программу-вымогатель Play, чтобы заблокировать данные компании и требовать за них выкуп.

Первичные признаки атаки появились, когда через взломанный аккаунт хакеры вошли в сеть и начали распространять вредоносные файлы. Эксперты отметили, что хакеры использовали специальный инструмент для кражи паролей. Через этот доступ они загружали вредоносное ПО на разные устройства компании, используя для передачи файлов сетевые протоколы. После этого программы DTrack и Sliver начали связываться с управляющим сервером, контролируемым хакерами, что позволяло группе оставаться в сети и управлять зараженными компьютерами.

С наступлением сентября действия хакеров стали более интенсивными. В этот период они удалили с компьютеров программное обеспечение для защиты от кибератак и установили инструменты для сбора паролей и повышения своих привилегий в сети. Всё это подготовило почву для запуска программы-вымогателя Play. Помимо известных инструментов, хакеры использовали собственное вредоносное ПО, которое помогало собирать данные о банковских картах и истории интернет-браузеров пользователей.

Специалисты уверены, что Jumpy Pisces и Play действовали скоординированно, так как использовался один и тот же взломанный аккаунт и схожие техники для распространения вирусов и дальнейшего контроля сети. Примечательно, что злоумышленники использовали поддельные сертификаты, которые помогли маскировать вредоносные файлы под легальные, что позволяло избежать обнаружения.

Остаётся открытым вопрос, действительно ли Jumpy Pisces официально сотрудничает с Play, или же северокорейская группа просто продала доступ к сети для атаки. Play работает как RaaS-программа. То есть доходы от выкупов делятся между операторами вируса и их партнёрами. Иногда хакеры, которые взламывают сети, и те, кто активирует вирус, могут быть разными. Подобную тактику раньше использовала группа Evil Corp, которая меняла названия своих программ после введения санкций, чтобы продолжать атаки. Так же действуют и иранские хакеры.

Если Play не является RaaS-программой, то, скорее всего, Jumpy Pisces была лишь посредником. Однако такое сотрудничество указывает на рост активности северокорейских хакеров в сфере вымогательских атак. Теперь КНДР может угрожать не только кибершпионажем, но и более разрушительными атаками на компании и организации по всему миру.


Распечатать
08 июня 2025 Американские дипломаты предсказали, что Россия может начать наступление в ближайшие дни
08 июня 2025 Россия повторно выразила готовность передать тела погибших украинских военных
08 июня 2025 Коррупция в Минприроды: как ФСБ оказывает давление на свидетелей в деле министра Александра Козлова
08 июня 2025 Илон Маск и министр финансов США Скотт Бессент устроили ссору в Белом доме из-за бюджета
08 июня 2025 На Алтае бывший мэр Евгений Чернышов стал виновником смертельного ДТП
08 июня 2025 На трассе под Томском произошла авария, в результате которой погиб человек: водитель легкового автомобиля выехал на встречную полосу движения
08 июня 2025 В течение суток в Лос-Анджелес будет введена Национальная гвардия для подавления протестов
08 июня 2025 Воздушный шар приземлился неподалеку от трассы в Новосибирской области
08 июня 2025 В Златоусте без предупреждения отключили горячую воду: жители жалуются на отсутствие реакции со стороны властей
08 июня 2025 Завод «Азот» в Тульской области загорелся после атаки беспилотника
08 июня 2025 В интернете появилось видео, где робот занимается сортировкой посылок на заводе BMW
08 июня 2025 В городе Новомосковске Тульской области прозвучали взрывы
08 июня 2025 На кандидата в президенты Колумбии Мигеля Урибе было совершено покушение на улице
08 июня 2025 Трамп отправляет Национальную гвардию в Лос-Анджелес для подавления миграционных протестов
08 июня 2025 По тревоге в Москву были направлены полицейские из-за собрания «Русской общины» в Некрасовке
08 июня 2025 Одесский мошенник Владимир Филиппов был осуждён за мошенничество в России
08 июня 2025 Во Франции крупный пожар был вызван электросамокатом
08 июня 2025 В Бразилии девушка отравила подругу тортом из-за ревности
08 июня 2025 Правозащитник сообщил о наличии системы секретных тюрем для украинских военнопленных на территории России
08 июня 2025 В городе Новомосковск Тульской области прозвучали взрывы