"Өзіме өзім режиссер": шабуылдаушылар дайын шешімдерді қолдана отырып, төлем бағдарламаларына өз модификацияларын жасауды үйренді

Кибербопсалау топтары көбінесе өздерінің жеке меншік төлем бағдарламалық құралын пайдаланады, ал жеке шабуылдаушылар (әдетте бастапқы дағдылары бар) шабуылдарын бастау үшін жиі желіде қолжетімді төлем бағдарламасының дайын нұсқаларын пайдаланады. Көптеген бастапқы кодтар жалпыға ортақ желіде жарияланады немесе ағып кету нәтижесінде жалпыға қолжетімді болады. Kaspersky GReAT сарапшылары (Kaspersky Lab қауіптерді жаһандық зерттеу және талдау орталығы) желіде қол жетімді төлемдік бағдарламалық қамтамасыз етуді пайдаланып жасалған соңғы шабуылдарды сипаттайтын жаңа есепті ұсынды. Зиянды бағдарламаның бұл түрі шабуылдаушыларға құрбандарға көп дайындықсыз шабуыл жасауға мүмкіндік береді және елеулі қауіп болып табылады.

SEXi. 2024 жылдың сәуірінде деректер орталығы мен хостинг қызметтерін ұсынатын IxMetro компаниясына SEXi төлем бағдарламасы шабуыл жасады. Зиянды бағдарламаның және кибертоптың атауы шабуылдаушылар ESXi гипервизорларын нысанаға алғанына негізделген. Ағып кеткен зиянды бағдарлама үлгілеріне негізделген төлем бағдарламасының екі модификациясы қолданылды: Babuk нұсқасы Linux құрылғыларына бағытталған және LockBit нұсқасы Windows жүйесіне бағытталған.

Key Group. Басқа Key Group тобының зиянкестері 8 түрлі отбасының шифрлау бағдарламаларын пайдаланады. Олардың жүйеде шоғырландыру әдістері мен механизмдері әрбір жаңа нұсқамен жетілдірілді. Әдістердің әртүрлілігіне қарамастан, Key Group бейкәсіби тәжірибелерімен танымал, соның ішінде топ ішінде байланыс және құрбандармен байланысу үшін жалпыға қолжетімді GitHub репозиторийін және Telegram мессенджерін пайдалану, бұларды бақылауды жеңілдетеді.

Mallox. Mallox тобы 2021 жылы алғаш рет байқалған танымалдылығы төмен төлемдік бағдарлама нұсқасын пайдаланады. Топ бастапқы кодты сатып алғанын мәлімдеді. 2022 жылы бұл шабуылдаушылар серіктестік бағдарламасын іске қосты және олар тек орыс тілді шабуылдаушылармен жұмыс істейді — оларды ағылшын тілді серіктестер қызықтырмайды. Олардың серіктестері шабуылдауы керек ұйымдарды таңдауда қатаң талаптары бар: олар ауруханалар мен білім беру мекемелерін қоспағанда, кем дегенде 10 миллион доллар пайда табатын компаниялар. 2023 жылы топта 16 белсенді серіктес болды.

"Алдын-ала төленетін бағдарламалық жасақтама кодын қолданатын кибергруппалар жетілдірілген дағдыларға ие болмауы мүмкін, бірақ олардың шабуылдары серіктестік схемаларын қолдану және жәбірленушіні мұқият таңдау арқылы өте қауіпті болуы мүмкін. Жақында төлем бағдарламалары зиянкестер үшін қол жетімді болды. Осындай бағдарламалық жасақтаманың және серіктестік бағдарламалардың дайын нұсқаларының көмегімен тіпті жаңадан келген зиянкестер де үлкен қауіп төндіруі мүмкін",—  деп түсіндіреді Kaspersky GReAT жетекші сарапшысы Татьяна Шишкова.

Тәуекелдерді азайту үшін Касперский зертханасының мамандары мыналарды ұсынады:

- қауіптерді, соның ішінде күрделі қауіптерді жедел анықтау және оларға ден қою үшін, мысалы, Kaspersky Managed Detection and Response және Kaspersky Extended Detection and Response сияқты кешенді қорғаныс шешімін пайдалану;

- шифрлау функциясының рұқсатсыз белсендірілуіне, сондай-ақ тізілім кілттерінің өзгеруіне жол бермеу үшін корпоративтік пайдаланушылардың артықшылықтарын шектеңіз;

- шабуылдардың бастапқы векторын анықтау және болашақта осындай шабуылдардың алдын алу үшін инциденттерге талдау жүргізу.