Le groupe de hackers Librarian Ghouls, également connu sous le nom de Rare Werewolf, a piraté des centaines d'appareils russes pour le minage caché de cryptomonnaies. C'est ce qu'ont rapporté des spécialistes de la « Laboratoire Kaspersky ».
Algorithme d'infection
Des cybercriminels ont accédé aux systèmes via des courriels de phishing. Ils sont déguisés en messages d'organisations réelles et ressemblent à des documents officiels ou des ordres de paiement.
Après avoir infecté l'ordinateur avec un logiciel malveillant, les hackers établissent une connexion à distance et désactivent les systèmes de protection, y compris Windows Defender. Ils désactivent les systèmes de sécurité, par exemple, Windows Defender. Ensuite, ils configurent l'appareil pour qu'il s'allume automatiquement à une heure du matin et s'éteigne à cinq heures du matin. Selon les estimations de Kaspersky Lab, c'est ainsi que les malfaiteurs cachent leurs actions à l'utilisateur.
Pendant cette période, ils volent également des informations d'identification. Avant de lancer le mineur, les malfaiteurs recueillent des informations sur le système : la quantité de mémoire RAM, le nombre de cœurs de processeur et les données sur la carte graphique. Cela leur permet d'optimiser le programme pour le minage de cryptomonnaies. Pendant le fonctionnement du mineur, les hackers maintiennent le contact avec le pool en envoyant des requêtes chaque minute.
Quand les attaques ont-elles commencé
La campagne a commencé en décembre 2024 et se poursuit actuellement. Des centaines d'utilisateurs russes ont été touchés, principalement des entreprises industrielles et des universités techniques. Des cas isolés ont été enregistrés en Biélorussie et au Kazakhstan.
L'origine du groupe n'est pas établie. Les analystes ont noté que les courriels de phishing sont rédigés en russe, contiennent des archives avec des noms russes et des documents-appâts. Cela indique que la cible de la campagne est probablement des utilisateurs russophones ou des habitants de la Russie.
Les spécialistes supposent que les Librarian Ghouls pourraient être des hackers activistes. Le groupe utilise des logiciels tiers légaux au lieu de développer son propre code malveillant - une caractéristique typique de ce type d'alliances. Selon une autre entreprise, BI.ZONE, le groupe Rare Werewolf est actif depuis au moins 2019.
Rappelons qu'en décembre 2024, les analystes de «Laboratoire Kaspersky» ont parlé d'une nouvelle arnaque sur YouTube.
En mai, les dommages causés à l'industrie de la cryptographie par des piratages ont atteint 244 millions de dollars.
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Des analystes ont signalé une nouvelle vague de minage caché en Russie.
Le groupe de hackers Librarian Ghouls, également connu sous le nom de Rare Werewolf, a piraté des centaines d'appareils russes pour le minage caché de cryptomonnaies. C'est ce qu'ont rapporté des spécialistes de la « Laboratoire Kaspersky ».
Algorithme d'infection
Des cybercriminels ont accédé aux systèmes via des courriels de phishing. Ils sont déguisés en messages d'organisations réelles et ressemblent à des documents officiels ou des ordres de paiement.
Après avoir infecté l'ordinateur avec un logiciel malveillant, les hackers établissent une connexion à distance et désactivent les systèmes de protection, y compris Windows Defender. Ils désactivent les systèmes de sécurité, par exemple, Windows Defender. Ensuite, ils configurent l'appareil pour qu'il s'allume automatiquement à une heure du matin et s'éteigne à cinq heures du matin. Selon les estimations de Kaspersky Lab, c'est ainsi que les malfaiteurs cachent leurs actions à l'utilisateur.
Pendant cette période, ils volent également des informations d'identification. Avant de lancer le mineur, les malfaiteurs recueillent des informations sur le système : la quantité de mémoire RAM, le nombre de cœurs de processeur et les données sur la carte graphique. Cela leur permet d'optimiser le programme pour le minage de cryptomonnaies. Pendant le fonctionnement du mineur, les hackers maintiennent le contact avec le pool en envoyant des requêtes chaque minute.
Quand les attaques ont-elles commencé
La campagne a commencé en décembre 2024 et se poursuit actuellement. Des centaines d'utilisateurs russes ont été touchés, principalement des entreprises industrielles et des universités techniques. Des cas isolés ont été enregistrés en Biélorussie et au Kazakhstan.
L'origine du groupe n'est pas établie. Les analystes ont noté que les courriels de phishing sont rédigés en russe, contiennent des archives avec des noms russes et des documents-appâts. Cela indique que la cible de la campagne est probablement des utilisateurs russophones ou des habitants de la Russie.
Les spécialistes supposent que les Librarian Ghouls pourraient être des hackers activistes. Le groupe utilise des logiciels tiers légaux au lieu de développer son propre code malveillant - une caractéristique typique de ce type d'alliances. Selon une autre entreprise, BI.ZONE, le groupe Rare Werewolf est actif depuis au moins 2019.
Rappelons qu'en décembre 2024, les analystes de «Laboratoire Kaspersky» ont parlé d'une nouvelle arnaque sur YouTube.