Кибератака, мотивированная финансовыми соображениями, нацелена на крупные мексиканские компании и криптовалютные биржи

Научно-исследовательское подразделение Blackberry предупредило о кибератаке, мотивированной финансовыми соображениями и направленной на мексиканские криптовалютные биржи, банки и крупные компании с валовым доходом более 100 миллионов долларов. 

Нападавших удалось tracдо Мексики, и предполагается, что они базируются в Латинской Америке.

изощренная методология атаки

В отчете Blackberry подчеркивается использование злоумышленниками инструмента удаленного доступа с открытым исходным кодом под названием AllaKore RAT. Этот инструмент значительно модифицирован для кражи конфиденциальной информации пользователей, включая банковскиеdentи уникальные данные аутентификации. 

Украденная информация передается на сервер управления и контроля (C2), что облегчает совершение финансовых махинаций.

Одной из примечательных особенностей этой кибератаки является метод проникновения. Злоумышленники стремятся установить RAT-программу AllaKore на компьютеры и базы данных, находящиеся в распоряжении компании, часто скрывая свои действия за официальными схемами именования и ссылками. 

Этот метод позволил им обойти подозрения сотрудников, что делает обнаружение угрозы сложной задачей.

Масштабы этой киберугрозы выходят за рамки финансового сектора. Хотя основными целями стали криптовалютные биржи и банки, жертвами этих атак стали и крупные мексиканские корпорации из различных отраслей бизнеса. 

К этим секторам относятся розничная торговля, сельское хозяйство, государственный сектор, обрабатывающая промышленность, транспорт, коммерческие услуги и производство товаров производственного назначения.

Крупные мексиканские компании в поле зрения

Злоумышленники предпочитают крупные компании с валовым доходом, превышающим 100 миллионов долларов. Такие компании напрямую подчиняются Мексиканскому институту социального обеспечения (IMSS), что делает ихtracцелями. 

Было замечено, что киберпреступники используют IP-адреса мексиканской сети Starlink, что еще раз подтверждает их ориентацию на мексиканские организации.

По мере совершенствования тактики злоумышленников, новые версии RAT-программы AllaKore используют более сложный процесс установки. Вредоносное ПО распространяется среди целевых организаций в виде установочного файла программного обеспечения Microsoft. 

Вредоносная программа запускается только после подтверждения того, что жертва находится в Мексике, что свидетельствует о высокой степени изощренности их подхода.

Латиноамериканская связь

Инструкции на испанском языке, содержащиеся в модифицированной полезной нагрузке RAT, указывают на то, что злоумышленник, ответственный за эти атаки, находится в Латинской Америке. Эта региональная связь усложняет расследование и подчеркивает необходимость международного сотрудничества в борьбе с этой киберугрозой.

Учитывая постоянно меняющийся характер этой киберугрозы, для организаций, особенно в целевых секторах, крайне важно принимать упреждающие меры для защиты своих систем и данных. 

Эти меры могут включать в себя усиление протоколов кибербезопасности, внедрение надежных систем обнаружения вторжений и предоставление сотрудникам обучения по вопросам кибербезопасности, чтобы помочь им распознавать потенциальные угрозы.

Совместные усилия

Для противодействия этой киберугрозе необходимы совместные усилия как частного, так и государственного секторов. Компании, пострадавшие от этих атак, должны тесно сотрудничать с правоохранительными органами и по кибербезопасности для расследования и минимизации ущерба. 

Кроме того, обмен информацией об угрозах и передовым опытом внутри бизнес-сообщества может помочь укрепить защиту от будущих атак.