Group-IB: хакеры-вымогатели обыгрывают тему ухода из страны платежных систем Visa и Mastercard
МОСКВА, 14 апр — ПРАЙМ. Группа хакеров-вымогателей OldGremlin (гремлины) провела две атаки на русскоязычные компании, при этом одна из них обыгрывала тему ухода из страны платежных систем Visa и Mastercard, сообщает компания по кибербезопасности Group-IB.
Международные платежные системы Visa и Mastercard 6 марта сообщили, что приостанавливают операции в России. При этом, согласно заявлению ЦБ РФ, карты с данными платежными системами, выпущенные российскими банками, продолжат работать на территории страны до истечения срока их действия.
"Group-IB зафиксировала две новые атаки русскоязычной группы вымогателей OldGremlin на российские компании 22 и 25 марта. В первой рассылке от 22 марта вымогатели обыгрывают тему санкций и "полный уход" платежных систем Visa и Mastercard — письмо было написано от имени старшего бухгалтера российской финансовой организации", — говорится в сообщении.
Уточняется, что для оформления новой банковской карты клиенту предлагалось изучить инструкцию и заполнить анкету. На самом деле письма содержали ссылки на вредоносный документ, расположенный в файловых хостингах.
Подозрительная рассылка была вовремя задетектирована… одна из атакованных жертв — российская компания, специализирующаяся на добыче полезных ископаемых — была оперативно предупреждена об угрозе.
Позднее 25 марта, "гремлины" провели новую рассылку. На эту атаку аналитики Group-IB вышли в ходе анализа сетевой инфраструктуры OldGremlin.
"Эксперты Group-IB предполагают, что новые рассылки могли заразить большое количество компаний, и в ближайшие месяцы злоумышленники без лишней спешки медленно и аккуратно будут продвигаться в их инфраструктуре, обходя "дефолтные" системы защиты", — уточнили в компании.
Впервые активность вымогателей из OldGremlin была выявлена аналитиками Group-IB весной 2020 года. Всего за два года "гремлины", по данным Group-IB, провели 13 кампаний по рассылке вредоносных писем. Самым "урожайным" оказался 2020 год — OldGremlin отправили 10 рассылок якобы от имени российского металлургического холдинга, белорусского завода "МТЗ", а также медиахолдинга РБК.
https://1prime.ru/state_regulation/20220414/836669185.html