Zgodnie z najnowszym raportem BlackBerry Threat Research zespó? cyberprzest?pców znany jako RomCom koncentruje ataki na ukrai?skich politykach i ameryka?skim sektorze opieki zdrowotnej w ramach nowej kampanii hakerskiej. Zgodnie z doniesieniami ekspertów ds. IT grupa ta u?ywa wyrafinowanych technik (w tym phishingu, typosquattingu) i wdra?a zmodyfikowan? wersj? programu Devolutions Remote Desktop Manager.
Ukrai?scy politycy na celowniku grupy hakerskiej
Sprawcy wybieraj? ofiary na podstawie blisko?ci i zaanga?owania w organizacje proukrai?skie, zw?aszcza te pomagaj?ce uchod?com uciekaj?cym przed trwaj?cym w kraju konfliktem.
Szczegó?owa kampania phishingowa wdro?ona przez RomCom ma na celu nak?onienie ofiar do pobrania z?o?liwego oprogramowania za po?rednictwem fa?szywych stron internetowych, które imituj? oryginalne legalne strony.
Hakerzy wykazali si? bieg?o?ci? w typosquattingu, tworz?c fa?szywe strony tak przekonuj?co podobne do prawdziwych stron internetowych, ?e ofiary ?atwo daj? si? nabra? i pobieraj? z?o?liwe oprogramowanie.
Po zainstalowaniu trojan zaczyna zbiera? metadane hosta i u?ytkownika z zaatakowanych systemów oraz przesy?a je z powrotem do serwera dowodzenia i kontroli (C2) kontrolowanego przez cyberprzest?pców.
„Chocia? w tym momencie nie jest jasne, jaki pocz?tkowy wektor infekcji zosta? u?yty do rozpocz?cia ?a?cucha wykonania, poprzednie ataki RomCom wykorzystywa?y ukierunkowane wiadomo?ci e-mail typu phishing, aby skierowa? ofiar? na sklonowan? stron? internetow?, na której znajduj? si? wersje popularnego oprogramowania z trojanami” – czytamy w doradztwie w zakresie bezpiecze?stwa BlackBerry Research & Intelligence Team. – „Istnieje du?e prawdopodobie?stwo, ?e w tym przypadku jest tak samo, poniewa? taktyka, technika i procedury (TTP) s? zgodne”.
Nieoczywiste cele hakerów
Szczególnie niepokoj?cy jest wyra?ny motyw geopolityczny stoj?cy za dzia?aniami RomCom. W przeciwie?stwie do wielu innych grup cyberprzest?pczych, których celem jest przede wszystkim zysk finansowy, RomCom wydaje si? d??y? do wydobywania poufnych informacji o sytuacji wewn?trznej w Ukrainie.
Mo?e to obejmowa? tajemnice wojskowe, strategie obronne i ofensywne, programy szkoleniowe, a tak?e inne utajnione dane. Wydaje si? równie?, ?e cyberprzest?pcy wykorzystuj? wszelkie wcze?niej dost?pne dane na temat swoich celów, takie jak informacje dotycz?ce tego, z jakiego oprogramowania korzystaj? i ich udzia?u w programach spo?ecznych lub politycznych.
Bior?c pod uwag? wyrafinowanie i oczywiste cele strategiczne grupy RomCom, oczywiste jest, ?e organizacje zaanga?owane w dzia?ania proukrai?skie, a tak?e szerzej rozumiany sektor opieki zdrowotnej w USA, musz? zwi?kszy? swoje cyberbezpiecze?stwo, aby chroni? si? przed tymi atakami.
„W trakcie naszych dochodze? firma BlackBerry zidentyfikowa?a kilka ofiar, g?ównie w Ukrainie” — wyja?niaj? badacze. – „Zgadza si? to z poprzednio widzianymi geolokalizacjami, które wybiera? RomCom. Zaobserwowali?my równie? dowody na to, ?e co najmniej jeden cel ma siedzib? w Stanach Zjednoczonych. Ofiary ataków s? zaanga?owane w kilka ró?nych bran?, takich jak wojsko i opieka zdrowotna. Wspóln? cech? wszystkich ofiar jest zaanga?owanie w konflikt na terenie Ukrainy”.
„Eksperci do spraw cyberbezpiecze?stwa z firmy Bitdefender radz?, aby sprawdza? legalno?? i bezpiecze?stwo stron internetowych przed pobraniem jakiegokolwiek oprogramowania i zachowa? ostro?no?? w przypadku nieoczekiwanych wiadomo?ci e-mail, nawet tych, które wydaj? si? pochodzi? od znanych kontaktów. Ponadto warto zawsze korzysta? z urz?dzenia, które jest zabezpieczone skutecznym systemem antywirusowym wyposa?onym w modu? antyphishingowy” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
