По данным компании, в число атакованных хакерами организаций вошли банки, телекоммуникационные компании и правительственные учреждения. Наибольшее число атак было зафиксировано в США, где киберпреступники взломали сети 21 организации. Второе и третье место по этому показателю заняли Франция и Эквадор где было атаковано 10 и 9 организаций, соответственно. В России же хакеры атаковали 7 организаций.
Как говорится в релизе, на след новой неизвестной кибергруппировки эксперты "Лаборатории Касперского" вышли в конце 2016 года, когда один из банков в СНГ обратился в компанию с просьбой расследовать подозрительную активность в своей сети. В ходе проверки в памяти сервера банка было обнаружено ПО для тестирования на проникновение Meterpreter, которое в настоящее время часто используется во вредоносных целях.
Эксперты установили, что код Meterpreter был загружен PowerShell скриптами из реестра операционной системы напрямую в память. Именно это позволило программе оставаться незамеченной и свободно собирать пароли системных администраторов. Конечной целью злоумышленников, скорее всего, было получение доступа к финансовым процессам банка.
Расследование этого случая, позволило специалистам "Лаборатории Касперского" установить, что подобные атаки осуществлялись по всему миру, а стоящая за ними группировка по-прежнему ведет активность. При этом "упаковка" вредоносного кода в легитимные утилиты позволяет хакерам оставаться незамеченными, а его присутствие лишь в памяти системы оставляет исследователей без каких-либо доказательств и артефактов, на основе которых можно провести расследование.
"Стремление атакующих сделать свою активность максимально незаметной и избежать детектирования – проявление последней тенденции в развитии киберугроз. Злоумышленники все активнее используют легитимное и базирующееся в памяти ПО, а также не замечаемые традиционными средствами защиты техники. Вот почему исследование системной памяти становится критически важным", – сообщил ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов.
Представители компании отмечают, что используемая хакерами тактика, похожа на тактику, которую использовали обнаруженные ранее кибергруппировки Carbanak и GCMAN.
Напомним, что 8 февраля представители МВД сообщили о задержании 9 хакеров из группировки Lurk, похитившей у банков более миллиарда рублей.