Эксперты обнаружили свидетельства, указывающие на причастность к атакам группировки Sandworm.
Недавняя кампания по распространению вымогательского ПО NotPetya (также известного как Petya.A) и атаки на энергосеть Украины в декабре 2015 года могут быть делом рук одной и той же хакерской группировки. О возможной связи между этими операциями сообщили специалисты компаний ESET и «Лаборатория Касперского».
Группа, ответственная за данные атаки, активна с 2007 года и известна под именами Sandworm, BlackEnergy, TeleBots, Electrum, TEMP.Noble и Quedagh. Несмотря на то, что группировка приобрела известность в 2014 году после атак на НАТО и правительственные организации, в ходе которых эксплуатировалась уязвимость нулевого дня (CVE-2014-4114) в Windows, в основном она знаменита атаками на промышленную инфраструктуру (в частности Украины).
Обычно целью хакеров являются SCADA-системы, в атаках используется вредоносное ПО BlackEnergy. Еще одним вредоносным инструментом, который ассоциируется с деятельностью группировки, является KillDisk - программа, предназначенная для промышленного саботажа или используемая для сокрытия следов кибератаки. Группировка уже довольно долгое время применяет данный инструмент в атаках на различные объекты, однако в минувшую зиму эксперты зафиксировали рост вредоносных кампаний с использованием KillDisk. В частности в декабре прошлого года были выявлены новые версии вредоносного ПО с функциональностью шифровальщика. Позже появился вариант KillDisk для Linux. В основном атаки были направлены на украинские банки и компании, предоставляющие услуги по морским перевозкам.
По словам специалиста ESET Антона Черепанова, выявлены свидетельства, указывающие на причастность TeleBots/BlackEnergy/Sandworm к кампаниям по распространению вымогательского ПО Win32/Filecoder.NKH (март 2017), XData (май 2017) и NotPetya (июнь 2017). По словам Черепанова, все три вредоносные кампании, включая недавние атаки NotPetya, были направлены на объекты в Украине и являются частью крупной кампании по саботажу украинского бизнес-сектора. Эксперты «Лаборатории Касперского» также указали на связь между прошлыми атаками TeleBots/BlackEnergy/Sandworm и кампанией NotPetya. При этом они отметили, что их находки пока нельзя назвать четкими доказательствами.
Ранее правительство США предупредило промышленные предприятия о киберпреступной кампании, направленной против представителей электроэнергетического и ядерного комплекса. Согласно докладу Министерства внутренней безопасности США и ФБР, с мая текущего года с помощью фишинга злоумышленники похищают учетные данные для доступа к сетям интересующих их компаний.
Напомним, 27 июня украинские банки, энергетические компании, государственные интернет-ресурсы и локальные сети, украинские медиа и ряд других крупных предприятий подверглись крупнейшей атаке с использованием шифровальщика NotPetya.
5778 К? Пф! У нас градус знаний зашкаливает!