Исследование, проведенное провайдером решений для риска, Kroll, выявило растущую тенденцию использования трояна Qakbot, или Qbot, для запуска кампаний по захвату потоков электронной почты и развертывания атак с использованием вымогателей.
Согласно данным, полученным совместно с аналитиками из Национального альянса по кибер-криминалистике и обучению или NCFTA, киберпреступники стремятся украсть финансовые данные из различных отраслей, таких как СМИ, образование и научные круги.Тем не менее, пандемия COVID-19 помогла атакам на сектор здравоохранения.
По сообщениям, этот троян используется в качестве «точки входа» для операторов банды ProLock Ransomware.В докладе предполагается, что жертвы являются легкими целями из-за сложных фишинговых структур, созданных преступниками.
Методы атак, используемые трояном Qakbot
По словам Кролла, Qakbot является банковским трояном, который работает уже более десяти лет и полагается, среди прочего, на использование кейлоггеров, аутентификационных грабберов cookie, атак методом перебора и кражи учетных данных Windows.
Один из авторов исследования, Лори Яконо, вице-президент группы по кибер-риску Kroll, объяснил Cointelegraph следующие причины, по которым киберпреступники полагаются на троянов, таких как Qakbot, для запуска вымогателей:
«Конечная причина – максимизировать свою прибыль.За последние 18 месяцев Кролл наблюдал множество случаев, когда троянская инфекция была первым этапом многоэтапной атаки: хакеры заражают систему, находят способ повысить привилегии, проводят разведку, крадут учетные данные (и иногда конфиденциальные данные),а затем запустить атаку вымогателей с уровня доступа, где он может нанести максимальный ущерб.Они могут зарабатывать деньги на выкупе и, возможно, на продаже украденных данных и учетных данных, плюс украденные данные помогают вынудить зараженные компании платить выкуп ».
Соул-исследователь и вице-президент отдела киберрисков Kroll, Коул Манастер, пояснил Cointelegraph, что рост количества атак с использованием перехвата потоков, подобных тем, которые были развернуты Qakbot, демонстрирует эволюцию.Он добавляет следующее:
«Преступники знают о растущей подготовке кибербезопасности среди пользователей электронной почты и создают более изощренные и аутентичные фишинговые приманки».
Кризис COVID-19 повышает уровень угрозы в киберпреступности
С другой стороны, Яконо сказал, что использование троянов вымогателями не редкость, и приводит пример атак Ryuk, которым предшествует установка трояна Emotet и атак DoppelPaymer, которым предшествуют инъекции Trickbot.
Она предупреждает, что из-за того, что в связи с кризисом COVID-19 все больше рабочих дома, они видят «всплеск атак, использующих уязвимости в приложениях удаленной работы, таких как эксплойт Citrix».
сообщалось 17 мая, что банда ProLock полагается на банковский троян Qakbot для запуска атаки и запрашивает цели для выкупа из шести цифр долларов США, выплаченных в биткоин (BTC), для расшифровки файлов.
