Хакеры все чаще полагаются на трояны для развертывания атак вымогателей

Исследование, проведенное провайдером решений для риска, Kroll, выявило растущую тенденцию использования трояна Qakbot, или Qbot, для запуска кампаний по захвату потоков электронной почты и развертывания атак с использованием вымогателей.

Согласно данным, полученным совместно с аналитиками из Национального альянса по кибер-криминалистике и обучению или NCFTA, киберпреступники стремятся украсть финансовые данные из различных отраслей, таких как СМИ, образование и научные круги.Тем не менее, пандемия COVID-19 помогла атакам на сектор здравоохранения.

По сообщениям, этот троян используется в качестве «точки входа» для операторов банды ProLock Ransomware.В докладе предполагается, что жертвы являются легкими целями из-за сложных фишинговых структур, созданных преступниками.

Методы атак, используемые трояном Qakbot

По словам Кролла, Qakbot является банковским трояном, который работает уже более десяти лет и полагается, среди прочего, на использование кейлоггеров, аутентификационных грабберов cookie, атак методом перебора и кражи учетных данных Windows.

Один из авторов исследования, Лори Яконо, вице-президент группы по кибер-риску Kroll, объяснил Cointelegraph следующие причины, по которым киберпреступники полагаются на троянов, таких как Qakbot, для запуска вымогателей:

«Конечная причина – максимизировать свою прибыль.За последние 18 месяцев Кролл наблюдал множество случаев, когда троянская инфекция была первым этапом многоэтапной атаки: хакеры заражают систему, находят способ повысить привилегии, проводят разведку, крадут учетные данные (и иногда конфиденциальные данные),а затем запустить атаку вымогателей с уровня доступа, где он может нанести максимальный ущерб.Они могут зарабатывать деньги на выкупе и, возможно, на продаже украденных данных и учетных данных, плюс украденные данные помогают вынудить зараженные компании платить выкуп ».

Соул-исследователь и вице-президент отдела киберрисков Kroll, Коул Манастер, пояснил Cointelegraph, что рост количества атак с использованием перехвата потоков, подобных тем, которые были развернуты Qakbot, демонстрирует эволюцию.Он добавляет следующее:

«Преступники знают о растущей подготовке кибербезопасности среди пользователей электронной почты и создают более изощренные и аутентичные фишинговые приманки».

Кризис COVID-19 повышает уровень угрозы в киберпреступности

С другой стороны, Яконо сказал, что использование троянов вымогателями не редкость, и приводит пример атак Ryuk, которым предшествует установка трояна Emotet и атак DoppelPaymer, которым предшествуют инъекции Trickbot.

Она предупреждает, что из-за того, что в связи с кризисом COVID-19 все больше рабочих дома, они видят «всплеск атак, использующих уязвимости в приложениях удаленной работы, таких как эксплойт Citrix».

сообщалось 17 мая, что банда ProLock полагается на банковский троян Qakbot для запуска атаки и запрашивает цели для выкупа из шести цифр долларов США, выплаченных в биткоин (BTC), для расшифровки файлов.