Научно-исследовательское подразделение Blackberry предупредило о кибератаке, мотивированной финансовыми соображениями и направленной на мексиканские криптовалютные биржи, банки и крупные компании с валовым доходом более 100 миллионов долларов.
Нападавших удалось tracдо Мексики, и предполагается, что они базируются в Латинской Америке.
изощренная методология атаки
В отчете Blackberry подчеркивается использование злоумышленниками инструмента удаленного доступа с открытым исходным кодом под названием AllaKore RAT. Этот инструмент значительно модифицирован для кражи конфиденциальной информации пользователей, включая банковскиеdentи уникальные данные аутентификации.
Украденная информация передается на сервер управления и контроля (C2), что облегчает совершение финансовых махинаций.
Одной из примечательных особенностей этой кибератаки является метод проникновения. Злоумышленники стремятся установить RAT-программу AllaKore на компьютеры и базы данных, находящиеся в распоряжении компании, часто скрывая свои действия за официальными схемами именования и ссылками.
Этот метод позволил им обойти подозрения сотрудников, что делает обнаружение угрозы сложной задачей.
Масштабы этой киберугрозы выходят за рамки финансового сектора. Хотя основными целями стали криптовалютные биржи и банки, жертвами этих атак стали и крупные мексиканские корпорации из различных отраслей бизнеса.
К этим секторам относятся розничная торговля, сельское хозяйство, государственный сектор, обрабатывающая промышленность, транспорт, коммерческие услуги и производство товаров производственного назначения.
Крупные мексиканские компании в поле зрения
Злоумышленники предпочитают крупные компании с валовым доходом, превышающим 100 миллионов долларов. Такие компании напрямую подчиняются Мексиканскому институту социального обеспечения (IMSS), что делает ихtracцелями.
Было замечено, что киберпреступники используют IP-адреса мексиканской сети Starlink, что еще раз подтверждает их ориентацию на мексиканские организации.
По мере совершенствования тактики злоумышленников, новые версии RAT-программы AllaKore используют более сложный процесс установки. Вредоносное ПО распространяется среди целевых организаций в виде установочного файла программного обеспечения Microsoft.
Вредоносная программа запускается только после подтверждения того, что жертва находится в Мексике, что свидетельствует о высокой степени изощренности их подхода.
Латиноамериканская связь
Инструкции на испанском языке, содержащиеся в модифицированной полезной нагрузке RAT, указывают на то, что злоумышленник, ответственный за эти атаки, находится в Латинской Америке. Эта региональная связь усложняет расследование и подчеркивает необходимость международного сотрудничества в борьбе с этой киберугрозой.
Учитывая постоянно меняющийся характер этой киберугрозы, для организаций, особенно в целевых секторах, крайне важно принимать упреждающие меры для защиты своих систем и данных.
Эти меры могут включать в себя усиление протоколов кибербезопасности, внедрение надежных систем обнаружения вторжений и предоставление сотрудникам обучения по вопросам кибербезопасности, чтобы помочь им распознавать потенциальные угрозы.
Совместные усилия
Для противодействия этой киберугрозе необходимы совместные усилия как частного, так и государственного секторов. Компании, пострадавшие от этих атак, должны тесно сотрудничать с правоохранительными органами и по кибербезопасности для расследования и минимизации ущерба.
Кроме того, обмен информацией об угрозах и передовым опытом внутри бизнес-сообщества может помочь укрепить защиту от будущих атак.
