spot_img
Головна сторінкаНовиниВлада здійснює масштабну глобальну операцію для ліквідації інфостілера, що активно використовувався кіберзлочинцями

[:uk]Влада здійснює масштабну глобальну операцію для ліквідації інфостілера, що активно використовувався кіберзлочинцями[:]

Деякі оператори програм-крадіїв інформації об’єднують та продають викрадені дані. Проте все частіше компрометовані дані слугують шлюзом для хакерів, щоб розпочати подальші атаки, надаючи їм необхідну інформацію для доступу до онлайн-акаунтів та мереж багатомільярдних компаній.

«Очевидно, що програми-крадії інформації стали більше, ніж просто шкідливе програмне забезпечення, яке швидко збирає дані», — зазначає глава компанії DoubleYou, що спеціалізується на безпеці пристроїв Apple, Патрік Уордел. «У багатьох кампаніях вони фактично виступають в ролі першого етапу, збираючи облікові дані, токени доступу та інші дані, які дозволяють отримати foothold, які потім використовуються для запуску більш традиційних, високоефективних атак, таких як бічний рух, шпіонаж або програмне забезпечення-вимагач».

Перші відомості про програму-крадія Lumma з’явились на форумах кіберзлочинності російською мовою у 2022 році, згідно з даними ФБР та CISA. Відтоді її розробники модернізували можливості програми та випустили кілька різних версій програмного забезпечення.

Наприклад, з 2023 року вони працюють над інтеграцією штучного інтелекту в платформу шкідливого програмного забезпечення, згідно з даними компанії Trellix. Атакувальники прагнуть додати ці можливості для автоматизації частини роботи, пов’язаної з обробкою величезних обсягів сирих даних, зібраних програмами-крадіями інформації, включаючи ідентифікацію та відокремлення «бот» акаунтів, які зазвичай менш цінні для більшості нападників.

Один з адміністраторів Lumma розповідав раніше, що вони заохочують як досвідчених хакерів, так і нових кіберзлочинців використовувати їх програмне забезпечення. «Це приносить нам добрий прибуток», — зазначив адміністратор, маючи на увазі перепродаж викрадених даних для входу в акаунти.

Microsoft повідомляє, що головний розробник Lumma носить псевдонім «Shamel» і базується в Росії.

«Shamel пропонує різні рівні обслуговування Lumma через Telegram та інші російськомовні форуми», — пише Масада з Microsoft у середу. «Залежно від того, який сервіс купує кіберзлочинець, вони можуть створювати свої власні версії шкідливого програмного забезпечення, додавати інструменти для його приховування та розповсюдження, а також відстежувати викрадену інформацію через онлайн-портал.»

Ківілевіч з компанії Kela зазначає, що за кілька днів до знищення Lumma деякі кіберзлочинці почали скаржитися на форумах, що виникли проблеми з програмою. Вони навіть припустили, що платформа шкідливого програмного забезпечення могла стати об’єктом операції правоохоронців.

«На основі того, що ми спостерігаємо, є широкий спектр кіберзлочинців, які визнають, що використовують Lumma, серед яких учасники шахрайства з кредитними картами, продажі початкового доступу, крадіжка криптовалюти тощо», — каже Ківілевіч.

Серед інших інструментів група хакерів Scattered Spider, яка атакувала Caesars Entertainment, MGM Resorts International та інших жертв, була помічена з використанням крадія Lumma. Тим часом, згідно з повідомленням TechCrunch, програма Lumma, ймовірно, використовувалася під час підготовки до зламу освітньої технологічної компанії PowerSchool у грудні 2024 року, в результаті якого було викрадено понад 70 мільйонів записів.

«Ми спостерігаємо не лише технічну еволюцію програм-крадіїв інформації, але й їх більше центральне місце в операційній діяльності», — говорить Уордел з DoubleYou. «Навіть державні актори розвивають та використовують їх».

Іан Грей, директор з аналізу і досліджень компанії Flashpoint, висловлює думку, що хоча програми-крадії інформації є лише одним з інструментів, які використовують кіберзлочинці, їх поширеність може полегшити хакерам приховування своїх слідів. «Навіть просунуті групи загроз використовують журнали програм-крадіїв інформації, інакше їм загрожує втратити складні тактики, техніки та процедури», — зазначає Грей.

Lumma не є єдиним крадієм інформації, що став мішенню для правоохоронців. У жовтні минулого року Нідерландська національна поліція разом з міжнародними партнерами ліквідувала інфраструктуру, пов’язану з шкідливими програмами RedLine та MetaStealer, а Міністерство юстиції США висунуло обвинувачення проти Максима Рудометова, одного з ймовірних розробників і адміністраторів крадія RedLine.

Незважаючи на міжнародний тиск, програми-крадії інформації залишаються надто корисними та ефективними для атакуючих, щоб їх можна було просто залишити. Як зазначає Грей з Flashpoint: «Навіть якщо обстановка врешті-решт зміниться внаслідок еволюції засобів захисту, зростаюча популярність програм-крадіїв інформації за останні кілька років свідчить про те, що вони, ймовірно, залишаться в найближчому майбутньому. Їх використання зросло в рази».