В России была зафиксирована новая волна атак группировки Mythic Likho на критическую информационную инфраструктуру (КИИ). Злоумышленники разрабатывают уникальные фишинговые сценарии для каждой жертвы, а для доставки вредоносного ПО используют взломанные сайты российских компаний и поддельные ресурсы. Конечная цель – шифрование данных и вымогательство выкупа. Об этом "Газете.Ru" сообщили в пресс-службе компании Positive Technologies. При подготовке атак хакеры изучают деятельность компании, ее партнеров и сотрудников. Письма приходят якобы от госорганов, ритейлеров или СМИ, причем первые сообщения могут не содержать вредоносных ссылок – так преступники втираются в доверие. В ход идут поддельные документы: договоры, счета, чеки и даже резюме, размещенные на фишинговых или взломанных ресурсах. Арсенал группировки включает собственные разработки (загрузчики HuLoader и ReflectPulse, бэкдор Loki) и сторонние вредоносные программы. Проникнув в сеть, хакеры крадут учетные данные, перемещаются по инфраструктуре, шифруют ценную информацию и оставляют инструкции по выкупу. "Mythic Likho в качестве жертв выбирает крупные платежеспособные предприятия, прежде всего из сфер машиностроения, добывающей и обрабатывающей промышленности. Киберпреступники продумывают каждый шаг атаки, используют сложные цепочки доставки ВПО, совершенствуют свои программы и стабильно обеспечивают анонимность вредоносной инфраструктуры", – сказал ведущий специалист группы киберразведки экспертного центра безопасности Positive Technologies Виктор Казаков. В Positive Technologies прогнозируют, что угроза со стороны Mythic Likho для российских объектов КИИ сохранится надолго.
