Хакерська група Librarian Ghouls, також відома як Rare Werewolf, зламала сотні російських пристроїв для прихованого майнінгу криптовалют. Про це повідомили спеціалісти «Лабораторії Касперського».
Алгоритм зараження
Зловмисники отримали доступ до систем через фішингові листи. Вони замасковані під повідомлення від реальних організацій і виглядають як офіційні документи чи платіжні доручення.
Після зараження комп'ютера шкідливим програмним забезпеченням хакери встановлюють віддалене з'єднання та відключають захисні системи, включаючи Windows Defender. Вони відключають системи безпеки, наприклад, Windows Defender. Потім вони налаштували пристрій на автоматичне включення о 1 годині ночі і відключення о 5 годині ранку. За даними "Лабораторії Касперського", саме так зловмисники приховують свої дії від користувача.
В цей проміжок часу вони також крадуть облікові дані. Перед запуском майнера зловмисники збирають інформацію про систему: обсяг оперативної пам'яті, кількість ядер процесора та дані про відеокарту. Це дозволяє їм оптимально налаштувати програму для добування криптовалюти. Під час роботи майнера хакери підтримують зв'язок з пулом, відправляючи запити кожну хвилину.
Коли почалися атаки
Кампанія почалася в грудні 2024 року і триває досі. Постраждали сотні російських користувачів, в основному промислові підприємства та технічні виші. Окремі випадки зафіксовані в Білорусі та Казахстані.
Походження групи не встановлено. Аналітики звернули увагу, що фішингові листи складені російською мовою, містять архіви з російськими назвами та документи-приманки. Це вказує на те, що метою кампанії, ймовірно, є російськомовні користувачі або жителі Росії.
Спеціалісти припускають, що Librarian Ghouls можуть бути так званими хактивістами. Група використовує легальне стороннє програмне забезпечення замість розробки власного шкідливого коду — характерна риса подібних об'єднань. За даними іншої компанії, BI.ZONE, угруповання Rare Werewolf активне як мінімум з 2019 року.
Нагадаємо, в грудні 2024 року аналітики «Лабораторії Касперського» розповіли про новий скам на YouTube
У травні шкода криптоіндустрії від злому досягла $244 млн
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Аналітики повідомили про нову хвилю прихованого майнінгу в Росії
Хакерська група Librarian Ghouls, також відома як Rare Werewolf, зламала сотні російських пристроїв для прихованого майнінгу криптовалют. Про це повідомили спеціалісти «Лабораторії Касперського».
Алгоритм зараження
Зловмисники отримали доступ до систем через фішингові листи. Вони замасковані під повідомлення від реальних організацій і виглядають як офіційні документи чи платіжні доручення.
Після зараження комп'ютера шкідливим програмним забезпеченням хакери встановлюють віддалене з'єднання та відключають захисні системи, включаючи Windows Defender. Вони відключають системи безпеки, наприклад, Windows Defender. Потім вони налаштували пристрій на автоматичне включення о 1 годині ночі і відключення о 5 годині ранку. За даними "Лабораторії Касперського", саме так зловмисники приховують свої дії від користувача.
В цей проміжок часу вони також крадуть облікові дані. Перед запуском майнера зловмисники збирають інформацію про систему: обсяг оперативної пам'яті, кількість ядер процесора та дані про відеокарту. Це дозволяє їм оптимально налаштувати програму для добування криптовалюти. Під час роботи майнера хакери підтримують зв'язок з пулом, відправляючи запити кожну хвилину.
Коли почалися атаки
Кампанія почалася в грудні 2024 року і триває досі. Постраждали сотні російських користувачів, в основному промислові підприємства та технічні виші. Окремі випадки зафіксовані в Білорусі та Казахстані.
Походження групи не встановлено. Аналітики звернули увагу, що фішингові листи складені російською мовою, містять архіви з російськими назвами та документи-приманки. Це вказує на те, що метою кампанії, ймовірно, є російськомовні користувачі або жителі Росії.
Спеціалісти припускають, що Librarian Ghouls можуть бути так званими хактивістами. Група використовує легальне стороннє програмне забезпечення замість розробки власного шкідливого коду — характерна риса подібних об'єднань. За даними іншої компанії, BI.ZONE, угруповання Rare Werewolf активне як мінімум з 2019 року.
Нагадаємо, в грудні 2024 року аналітики «Лабораторії Касперського» розповіли про новий скам на YouTube