2SDnjd76ePt
Раскрыта схема работы хакеров с необычными методами атаки
Компания PRODAFT опубликовала результаты расследования в отношении группы Wizard Spider, которая предположительно связана с хакерскими группами Grim Spider и Lunar Spider. Группировка Wizard Spider , возможно, русского происхождения и управляет инфраструктурой из «сложного набора подкоманд и групп, контролирует огромное количество взломанных устройств и использует высокоразвитый рабочий процесс для обеспечения безопасности и высокого темпа работы».
Сейчас различные киберпреступные кампании для получения прибыли или работы в интересах государства часто используют бизнес-модель, которая включает в себя наем лучших специалистов и создание финансовой основы для депозита, перевода и отмывания доходов. Wizard Spider по такой модели вкладывает часть прибыли в развитие за счет инвестиций в инструменты, программное обеспечение и наём новых специалистов. Согласно отчету, группа владеет «активами на сотни миллионов долларов».
«Невероятная прибыльность группы позволяет ее лидерам инвестировать в незаконные исследования и разработки. Wizard Spider вполне способна нанимать талантливых специалистов, создавать новую цифровую инфраструктуру и приобретать доступ к расширенным эксплойтам», - заявили исследователи.
Wizard Spider фокусируется на компрометации корпоративных сетей и «имеет значительное присутствие почти во всех развитых странах мира, а также во многих странах с развивающейся экономикой». Жертвами группы являются оборонные предприятия, корпоративные фирмы, поставщики оборудования, больницы и компании в сфере инфраструктуры.
Атаки Wizard Spider начинаются со спама и фишинга с использованием QBot и SystemBC прокси-сервера. Группа также может проникать в бизнес через скомпрометированную электронную почту между сотрудниками в BEC схемах (Business Email Compromise, BEC).
После получения доступа к системе группа может развернуть Cobalt Strike и попытаться получить права администратора домена. Когда вредоносная программа Conti развернута, компьютеры и серверы гипервизора зашифрованы, хакер может потребовать от жертвы выкуп. Скомпрометированные устройства управляются через панель управления.
Для сокрытия следов Wizard Spider использует VPN и прокси-серверы. Группа инвестировала в VoIP системы и сотрудников, которые звонят жертвам и запугивают их, заставляя платить выкуп. Группировки Sekhmet, Maze и Ryuk раньше использовали такую тактику запугивания. Coveware подозревает, что такая работа «колл-центра» может быть передана киберпреступникам на аутсорсинг, поскольку используемые шаблоны и сценарии часто одинаковые.
Еще одним примечательным инструментом является станция взлома Wizard Spider. Специальный набор хранит взломанные хэши и запускает взломщики, чтобы подобрать учетные данные домена и другие формы хэшей. Станция также информирует команду о статусе взлома. На данный момент насчитывается 32 активных пользователя станции. Также было обнаружено несколько серверов, содержащих кэш с тактиками, методами, эксплойтами, информацией о криптокошельках и зашифрованные ZIP файламы с заметками атакующих групп.
«Команда Wizard Spider показала, что способна монетизировать многие аспекты своей деятельности. Группа несет ответственность за огромное количество спама на сотнях миллионов устройств, а также за утечки данных и атаки программ-вымогателей на важные объекты», - добавила PRODAFT.Теги:
похожие материалы
Platform V SOWA AI от СберТеха поможет бизнесу контролировать и безопасно масштабировать работу ИИ
Российский разработчик ПО СберТех объявляет о выводе на рынок решения Platform V SOWA AI, которое формирует новый уровень безопасности при работе с искусственным интеллектом.
Доверяй, но проверяй: даже если файл подписан Microsoft, доверять ему не всегда можно
В СМИ появилась информация о том, что при участии Microsoft ликвидирована киберпреступная сеть Fox Tempest.
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.
VPN-ограничения не обрушили аудиторию, но ударили по привычке покупать «на ходу»
Аудитория крупных российских сервисов, ограничивших доступ пользователям с включенным VPN, в апреле почти не изменилась или снизилась в пределах 5%.
Банковскую карту теперь «прикладывают» через чужой телефон
Специалисты обнаружили два новых семейства Android-вредоносов для NFC-relay-атак - DevilNFC и NFCMultiPay.
NVIDIA закрыла 13 уязвимостей в драйверах GPU - часть могла привести к выполнению кода
NVIDIA выпустила майское обновление безопасности для GPU Display Drivers, закрывающее 13 уязвимостей в драйверах для Windows и Linux.
В GitHub признали факт взлома платформы
Веб-сервис GitHub взломали, в результате чего злоумышленники получили несанкционированный доступ к внутренним репозиториям.
Минпромторг усомнился в происхождении российских процессоров
Минпромторг попросил привлекать дополнительных экспертов к проверке российских процессоров «Иртыш» компании «Трамплин Электроникс».
ИИ добрался до цепочек эксплойтов: Cloudflare показала, что изменил Mythos
Cloudflare несколько недель тестировала Claude Mythos Preview от Anthropic на собственном коде и запустила модель более чем на 50 репозиториях.
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.
