Usługi cyberprzestępcze Rosjan. Grupa UAC-0050 atakuje

Usługi cyberprzestępcze Rosjan. Grupa UAC-0050 atakuje04.04.2024 15:50
Malware potrafi naprawdę sporo namieszać. Cyberprzestępcy są bezwzględni.
Źródło zdjęć: © Pexels

Nikomu niepotrzebna i przeciągająca się wojna implikuje nienaturalny wzrost zapotrzebowania na usługi defensywne dla sektora prywatnego i państwowego. Dodatkowo dynamiczny rozwój nowoczesnych technologii oraz dostęp do taniej mocy z chmury obliczeniowej sprzyja rozwojowi cyberataków. Mamy zatem do czynienia z dwoma zwalczającymi się obozami – obrońców i atakujących.

Zapotrzebowanie na cyber-usługi defensywne nie będzie maleć. Co za tym idzie cyber crime as a service również będzie odnotowywać wzrost przychodów. Według firmy Statista w zeszłym roku globalne straty w wyniku cyberataków wyniosły 8.15 bln dolarów. W roku 2024 szacuje się, że koszt obsługi cyberataków wzrośnie o kolejny bilion dolarów i będzie wzrastać rok do roku o kolejny bilion aż do 2028 r.

Usługi cyberprzestępcze, Źródło zdjęć: © statista.com
Usługi cyberprzestępcze
Źródło zdjęć: © statista.com

Wspominamy o tym we wstępie, aby nałożyć tło dla opisywanego ugrupowania przestępczego UAC-0050 wywodzonego się z Rosji.

Grupa hakerów UAC-0050, trojan Remcos i projekt DaVinci

UAC-0050 są aktywni od 2017 r., chociaż trudno w takich przypadkach znaleźć ten pierwszy punk zapalny. Hakerzy z Rosji atakują teraz głównie agencje rządowe w Ukrainie. Wykorzystują trojana Remcos RAT w kampaniach phishingowych. Według statystyk Remcos był na drugim miejscu najczęściej występujących trojanów w drugim kwartale 2023 r. w Polsce i na świecie. Oprogramowanie jest całkowicie legalne i jest do kupienia w sieci jako "narzędzie do zdalnego zarządzania".

Zdalne zarządzanie, Źródło zdjęć: © breakingsecurity.net
Zdalne zarządzanie
Źródło zdjęć: © breakingsecurity.net

Arsenał możliwości trojana jest wszechstronny, stąd szerokie zainteresowanie nim wśród cyberprzestępców. Remcos może ukrywać się pod postacią różnych plików. Najczęściej Remcos wykorzystywany jest do zdalnego sterowania komputerem ofiary, przechwytywania klawiszy, masowego pobierania plików z dysków, wykonywania zdalnych poleceń, wszystkiego co jest związane z kradzieżą danych.

Dalsza część artykułu pod materiałem wideo

Dwa ataki z użyciem Remcos (link 1link 2) opisywał w listopadzie 2023 r. ukraiński CERT i szczerze przyznać trzeba, że masowe rozprzestrzenianie spamu z załącznikami RAR do ukraińskich władz nie jest czymś, czemu warto poświęcać większą uwagę. Jest to prymitywna próba dostarczenia malware do przypadkowego systemu, ale oddajmy atakującym, że do rozsyłania spamu wykorzystują wykupione ukraińskie domeny lub skradzione konta pocztowe, w tym jedno konto w rządowej domenie ukraińskiej, co może uśpić czujność.

DaVinci, Źródło zdjęć: © Licencjodawca
DaVinci
Źródło zdjęć: © Licencjodawca

Arsenał DaVinci

Za to wart odnotowania jest projekt DaVinci rozwijany przez hakerów z grupy UAC-0050.

Hakowanie kont mailowych, profili na portalach social media, kont do komunikatorów, uzyskiwanie zdalnego dostępu do komputerów, przeprowadzanie ataków DoS, wyszukiwanie informacji o skradzionych samochodach, niszczenie danych z innych komputerów i wiele więcej… To niektóre pozycje, które znajdują się w ofercie DaVinci.

Do reklamowania swoich usług używają kilku domen, a jedna z nich ciągle działa. Mają też konta na Facebooku (nie aktualizowane), Telegramie i Instagramie.

Grupa DaVinci, Źródło zdjęć: © Facebook
Grupa DaVinci
Źródło zdjęć: © Facebook
Profil DaVinci, Źródło zdjęć: © Instagram
Profil DaVinci
Źródło zdjęć: © Instagram

Zdaniem jednego z badaczy ugrupowanie w ten sposób chce zwrócić uwagę na swoje usługi. Ponadto opublikowane metadane przez ukraiński CERT na temat grupy także było celem hakerów, aby zyskać rozgłos.

Bardzo interesujące opracowanie w pigułce na temat grupy, w tym używane techniki i taktyki, techniczne informacje dotyczące adresacji serwerów, używanych narzędzi itp. jest dostępne na tej stronie.

Hakerzy z tego ugrupowania (i nie tylko tego) w pierwszej kolejności używają adresów email do rozsyłania wiadomości. Zatem email jest wektorem ataku, na który warto zwrócić uwagę i jeżeli tak się wcześniej już stało – przypomnieć sobie zasady i sprawdzić konfigurację zabezpieczenia poczty. Obowiązek prawny stosowania rekordów SPF i DMARC mają podmioty świadczące usługi poczty elektronicznej, ale to na klientach końcowych i tak spoczywa indywidualna odpowiedzialność za weryfikowanie tych zabezpieczeń, czy są one stosowane w praktyce. Prawidłowa konfiguracja tych rekordów w znaczący sposób wpływa nie tylko na bezpieczeństwo (ochrona przed podszywaniem się pod nadawcę), ale i samą dostarczalność maili.

Active Directory — zarządzanie środowiskami Windows i dostępami

Twórz treści i zarabiaj na ich publikacji. Dołącz do WP Kreatora

Źródło artykułu:avlab.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na