Китайская кибергруппа перешла от обычного шпионажа к финансовым преступлениям
Исследователи обнаружили, что китайская шпионская группа APT27 перешла к более финансово мотивированным киберпреступлениям, используя программы-вымогатели для шифрования основных серверов крупных игровых компаний по всему миру, пишет издание SC Media.
В блоге, выпущенном Profero и Security Joes, исследователи сообщили, что команда впервые начала внимательно следить за APT27 в начале 2020 года, когда они отреагировали на инцидент с вымогателем. В ходе этого расследования было обнаружено вредоносное ПО, идентифицированное TrendMicro еще в июле 2019 года, которое было связано с кампанией APT27 и Winnti, известной как DRBControl. Обе группы связаны с Китаем.
Отчет Profero/Security Joes об инцидентах с программами-вымогателями раскрыл чрезвычайно сильные связи с APT27 с точки зрения сходства кода и тактики, методов и процедур. Эксперты сказали, что в этом инциденте выделялось шифрование основных серверов с помощью BitLocker, встроенного в Windows инструмента для шифрования дисков. Такой подход был необычным, учитывая, что злоумышленники обычно сбрасывают программы-вымогатели на компьютеры, а не используют локальные инструменты. Их уверенность в том, что деятельность APT27 превратилась в финансово мотивированную киберпреступность, укрепил отчет Positive Technologies, опубликованный в апреле 2020 года, который поведал, что APT27 также сбросили вымогатель Polar в системы.
Остин Мерритт, аналитик по киберугрозам в Digital Shadows, сказал, что значительное использование инструментов, которые исторически были связаны с китайскими злоумышленниками, предполагает, что вполне возможно, что APT27 или Winnti могли нести ответственность за действия программ-вымогателей, описанные в отчете Profero/Security Joes. Мерритт добавил, что другие APT, связанные с национальными государствами, такие как TA505 (Россия) и Lazarus Group (Северная Корея), в прошлом использовали программы-вымогатели.
"Поскольку многие варианты программ-вымогателей развертываются с использованием вариантов массового вредоносного ПО, таких как TrickBot и Emotet, часто бывает трудно определить принадлежность к одному конкретному APT, - сказал Мерритт. "Учитывая то, что программы-вымогатели занимают видное место в ландшафте угроз, вполне вероятно, что финансово-мотивированные национально-государственные субъекты будут использовать программы-вымогатели в будущих атаках", - добавил он.
