Хакеры из Dark Partners
Хакеры из Dark Partners были связаны с сетью поддельных криптовалютных кошельков и торговых приложений. Исследователь g0njxa раскрыл, что Dark Partners — это группа, занимающаяся крупномасштабной кражей цифровых активов. Хакеры управляют несколькими сайтами, внедряющими вредоносные программы, замаскированные под AI-сервисы, VPN и криптовалютное программное обеспечение, включая поддельные версии TradingView, MetaTrader 5, Ledger, Exodus, Koinly, AAVE и Unusual Whales.
Продолжающаяся кампания по распространению вредоносного ПО включает «PayDay Loader» для пользователей Windows и «Poseidon Stealer» для пользователей macOS через фальшивые сайты, предлагающие AI и программные решения. Анализ вредоносного ПО и охота за угрозами, проводимые в рамках данной кампании, обнаружили, что вредоносные программы сканируют устройства жертв на предмет ранее установленных кошельков, таких как Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi, Ledger Live, MetaMask и другие.
Хакеры также собирают информацию о хосте, учетные данные, закрытые ключи и куки для последующей перепродажи. g0njxa предположил, что Dark Partners используют приобретенные сертификаты для подписания кода, чтобы создать вредоносное ПО для Windows.
Лидер хакеров и их организация
Федеральное уголовное управление полиции Германии (BKA) идентифицировало лидера хакерских групп Trickbot и Conti, 36-летнего россиянина Виталия Ковалёва, известного как Stern. Он был объявлен в розыск по обвинениям в организации преступной группировки и, как предполагается, скрывается в Российской Федерации. В феврале 2023 года Ковалёв стал одним из семи человек, на которых США наложили санкции за связи с Trickbot и Conti, будучи высокопоставленным членом этих групп. По данным BKA, в Trickbot состояло более 100 членов, и группа ответственна за заражение сотен тысяч систем по всему миру, что нанесло ущерб в сотни миллионов долларов.
Вредоносные программы и вымогатели
Эксперты Cisco Talos обнаружили вредоносные программы, распространяющиеся под видом легитимных установщиков AI-инструментов, включая вирусы-вымогатели CyberLock и Lucky_Gh0$t, а также Numero viper. Операторы CyberLock запугивают жертв, утверждая, что получили полный доступ к конфиденциальным бизнес-документам, личным файлам и базам данных. Они требуют 50,000 долларов в Monero за ключ для расшифровки, обещая направить эти деньги как гуманитарную помощь разным странам. Хакеры угрожают опубликовать данные, если платеж не будет получен в течение трех дней; однако эксперты не нашли доказательств функциональности утечки данных в коде вымогателя. Lucky_Gh0$t действует аналогично, используя методы запугивания.
Сервис Numero манипулирует элементами графического интерфейса, изменяя содержимое окон и кнопок на числовые последовательности, тем самым делая операционную систему непригодной для использования.
Закрытие вредоносных сервисов
Полиция Нидерландов, получившая помощь от американских коллег, заблокировала сервис AVCheck, который киберпреступники использовали для тестирования своего вредоносного ПО на коммерческих антивирусных решениях. Следователи также связали администраторов сайта с криптоуслугами Cryptor.biz и Crypt.guru. Домен первого был изъят, в то время как второй сейчас недоступен. Шифровальные услуги помогают операторам вредоносного ПО скрывать свои данные, создавая единую экосистему. Подпольные агенты под прикрытием, представляясь клиентами, сыграли важную роль в закрытии этих сервисов.
Новая угроза для конфиденциальности
В Интернете появился новый сервис под названием YouTube-Tools, который утверждает, что может найти все комментарии, сделанные пользователем YouTube, и с помощью AI создать профиль, указывающий на их предполагаемое место жительства, языковые навыки, интересы и политические взгляды, согласно информации от 404 Media. Этот сервис был изначально создан для изучения имен пользователей League of Legends, но с переходом на модифицированную LLM от Mistral его возможности значительно расширились. По словам разработчика, YouTube-Tools предназначен для использования правоохранительными органами, однако после регистрации и за примерно 20 долларов в месяц он стал доступен для всех. Эксперты предупреждают, что данный инструмент может представлять серьезную угрозу для конфиденциальности.
Создание киберкомандования в Великобритании
Министр обороны Великобритании Джон Хили раскрыл планы правительства по созданию киберкомандования, ответственного за защиту страны от хакерских атак и поддержку военных киберопераций. Новая структура модернизирует системы управления и координации армейских подразделений с использованием технологий AI на сумму 1 миллиард фунтов стерлингов (1.3 миллиарда долларов). Киберкомандование также займется перехватом вражеских коммуникаций и подавлением вражеских дронов. За последние два года британские власти столкнулись с примерно 90,000 кибератак со стороны иностранных разведывательных служб, в основном из России и Китая.
