Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс

Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс
Шпионы КНДР и хакеры-вымогатели образуют новый киберальянс
Государственные хакеры вступают в новую эпоху атак с вымогательскими вирусами.

Эксперты из Unit 42 выяснили, что хакерская группа Jumpy Pisces, имеющая связи с разведкой Северной Кореи, теперь объединилась с группой, занимающейся распространением программы-вымогателя Play (Fiddling Scorpius).

Ранее Jumpy Pisces (Andariel, Onyx Sleet) была известна как группа кибершпионов, но теперь, похоже, она начала помогать киберпреступникам в распространении вирусов, используемых для вымогательства. Это первая зафиксированная кооперация между северокорейскими хакерами и иностранной кибергруппой, работающей с программами-вымогателями.

Расследование конкретного случая показало, что впервые хакеры получили доступ к атакованной сети в мае 2024 года, используя скомпрометированный аккаунт сотрудника компании. Доступ позволил Jumpy Pisces постепенно заразить другие компьютеры сети, распространяя через них вирусы Sliver и DTrack. Группировка использовала данные инструменты для слежки и контроля над сетью на протяжении нескольких месяцев, скрывая свои действия. Основная атака началась в сентябре 2024 года, когда группа запустила в сети программу-вымогатель Play, чтобы заблокировать данные компании и требовать за них выкуп.

Первичные признаки атаки появились, когда через взломанный аккаунт хакеры вошли в сеть и начали распространять вредоносные файлы. Эксперты отметили, что хакеры использовали специальный инструмент для кражи паролей. Через этот доступ они загружали вредоносное ПО на разные устройства компании, используя для передачи файлов сетевые протоколы. После этого программы DTrack и Sliver начали связываться с управляющим сервером, контролируемым хакерами, что позволяло группе оставаться в сети и управлять зараженными компьютерами.

С наступлением сентября действия хакеров стали более интенсивными. В этот период они удалили с компьютеров программное обеспечение для защиты от кибератак и установили инструменты для сбора паролей и повышения своих привилегий в сети. Всё это подготовило почву для запуска программы-вымогателя Play. Помимо известных инструментов, хакеры использовали собственное вредоносное ПО, которое помогало собирать данные о банковских картах и истории интернет-браузеров пользователей.

Специалисты уверены, что Jumpy Pisces и Play действовали скоординированно, так как использовался один и тот же взломанный аккаунт и схожие техники для распространения вирусов и дальнейшего контроля сети. Примечательно, что злоумышленники использовали поддельные сертификаты, которые помогли маскировать вредоносные файлы под легальные, что позволяло избежать обнаружения.

Остаётся открытым вопрос, действительно ли Jumpy Pisces официально сотрудничает с Play, или же северокорейская группа просто продала доступ к сети для атаки. Play работает как RaaS-программа. То есть доходы от выкупов делятся между операторами вируса и их партнёрами. Иногда хакеры, которые взламывают сети, и те, кто активирует вирус, могут быть разными. Подобную тактику раньше использовала группа Evil Corp, которая меняла названия своих программ после введения санкций, чтобы продолжать атаки. Так же действуют и иранские хакеры.

Если Play не является RaaS-программой, то, скорее всего, Jumpy Pisces была лишь посредником. Однако такое сотрудничество указывает на рост активности северокорейских хакеров в сфере вымогательских атак. Теперь КНДР может угрожать не только кибершпионажем, но и более разрушительными атаками на компании и организации по всему миру.


Распечатать
05 июня 2025 Бывший руководитель Казанского вокзала Черников арестован по обвинению в посредничестве при получении взятки
05 июня 2025 Фабрика армейских часов «Восток-Дизайн» была признана виновной в особо крупном мошенничестве
05 июня 2025 Генеральная прокуратура объявила «Британский совет» нежелательной организацией
05 июня 2025 В Великобритании раскрыли секретный план на случай смерти Кейт Миддлтон
05 июня 2025 Генеральная прокуратура выдвинула права на имущество, связанное с коррупцией, бывшего мэра Владивостока Николаева
05 июня 2025 Министерство обороны превратилось в организацию, занимающуюся рейдерством и воровством, грабя страну под прикрытием силовиков
05 июня 2025 В Забайкальском крае суд вынес приговор хакерам, укравшим 20 миллионов рублей
05 июня 2025 Певица Мадонна опубликовала семейные фотографии с празднования 94-летия своего отца
05 июня 2025 Западные страны окажут Украине помощь на миллиарды
05 июня 2025 В Америке женщина промыла нос водопроводной водой и заразилась инфекцией, которая проникла в мозг
05 июня 2025 Украина нанесла урон и уничтожила множество российских военных самолетов
05 июня 2025 Атака на электростанции вызвала отключение электричества во множестве населённых пунктов Украины
05 июня 2025 Бастрыкин сообщил о причастности СБУ к террористическим актам в Брянской и Курской областях
05 июня 2025 Против Виктории Бони было возбуждено дело за пропаганду наркотиков
05 июня 2025 Апти Алаудинов угрожал Арегу Щепихину пистолетом и критиковал власти за бездействие в отношении дела об оскорблениях чеченцев
05 июня 2025 Лидера албанской преступной группировки в Эквадоре обвиняют в отмывании денег через компании в Объединённых Арабских Эмиратах
05 июня 2025 На «Госуслугах» будет доступен раздел с информацией об адресах бомбоубежищ и эвакуационных пунктов по всей стране
05 июня 2025 Мать основателя сети Fish Point была обманута более чем на 100 миллионов рублей
05 июня 2025 Трамп вновь разместил сообщение из своих социальных сетей, в котором поделился информацией о разговоре с Путиным
05 июня 2025 Российские стратегические самолёты оказались в рискованном положении из-за соглашения о ядерном вооружении с Соединёнными Штатами