Виявлена нова програма-вимагач BlueSky, яка переважно націлена на хости Windows, використовує багатопотоковість для швидшого шифрування та може бути направлена проти користувачів з України, оскільки за своїм кодом схожа на використовану російськими хакерами Conti та Babuk Ransomware. Модулі багатопоточності BlueSky має схожість до вихідного коду Conti v3, а модуль мережевого пошуку є її точною копією. У той же час (як і Babuk Ransomware) BlueSky шифрує файли за допомогою алгоритмів ChaCha20 і Curve25519 для генерації ключів. Щоб уникнути засобів захисту, BlueSky використовує шифрування рядків, обфускацію API та механізми захисту від помилок, щоб уповільнити процес зворотного проектування. Через певну схожість коду, антивірусне програмне забезпечення та системи захисту мають можливість виявити та ідентифікувати програму-вимагач як Conti.
Також, підтримувана державою російська кібершпигунська група APT29 (CozyBear, CozyDuke, Nobelium, Group 100), діяльність якої приписують Службі зовнішньої розвідки Росії, була особливо активною у 2022 році, націлюючись на облікові записи Microsoft 365 в організаціях, відповідальних за вплив і формування зовнішньої політики країн НАТО, що підтримують Україну. Намагаючись отримати доступ до зовнішньополітичної інформації, російські хакери активно атакували облікові записи у виявлених шпигунських кампаніях. Кіберугруповання продовжує демонструвати виняткову оперативну безпеку, щоб аналітики не могли виявити та розкрити їхні методи атак. Щоб уникнути перевірки зламаних облікових записів, хакери вимикають функцію аудиту дозволів цільового користувача ще до того, як це вплине на його поштові папки. Збирання електронної пошти є найвірогіднішою діяльністю після вимкнення аудиторської перевірки. Крім того, було виявлено, що зловмисники проводять успішні атаки на підбір пароля, які дозволяють заволодіти неактивними обліковими записами та використовувати отриманий таким чином доступ. Група також покладалась на “втому від MFA”, надсилаючи жертвам спам за допомогою push-повідомлень, доки вони його не приймали.
Водночас, аналітики повідомляють про націлений на Android і Windows троян віддаленого доступу (RAT) під назвою Escanor, який активно продається через однойменний Telegram-канал, керований обліковим записом користувача Telegram під назвою HAX_CRYPT.
Windows RAT доставляється через шкідливі файли Microsoft Word, Excel, PDF або HTML5 для встановлення клієнта Hidden VNC (HVNC), що дозволяє оператору зловмисного програмного забезпечення віддалено взаємодіяти з комп’ютером-жертвою через повний графічний віддалений робочий стіл.
Android RAT може відстежувати місцезнаходження пристрою жертви, активувати камеру та фіксувати коди одноразового пароля (OTP), надіслані банками чи іншими установами через текстові повідомлення. Той самий актор, який продає Escanor, також продавав зламані версії інших хакерських інструментів, які активно використовуються російськими кіберугрупованнями, зокрема Venom RAT, Cobalt Strike і Security Killer HVNC. Більшість товарів на Telegram-каналі пропонуються за низькими цінами від 50 до 100 дол. США, за допомогою різноманітних транзакцій у криптовалюті.
Спонсоровані Росією кібергрупи продовжують оновлювати свої тактику, техніки та процедури. Аналітики очікують, що вони будуть й надалі підтримувати високий рівень підготовки, намагаючись відслідковувати розробку методів і тактик доступу новими та прихованими способами, а широкий спектр кіберзлочинців з різними рівнями кваліфікації використовуватиме наявне шкідливе програмне забезпечення для отримання доступу до комп’ютерів і мобільних пристроїв жертв через низькі ціни та доступність.
Найкращим способом, зокрема, для українських користувачів, уникнути руйнівних і небезпечних вторгнень є потужні рішення безпеки кінцевих точок у поєднанні з контролем кінцевих пристроїв на наявність підозрілих подій, вкладень електронної пошти та посилань для завантаження файлів Excel, Word, PDF і HTML.
