Ночные кибератаки на предприятия: как Librarian Ghouls похищают данные и майнят криптовалюту

С начала декабря 2024 года российские компании, особенно работники производственных предприятий и технических вузов, сталкиваются с масштабной кампанией кибератак со стороны хакерской группировки Librarian Ghouls.

Об этом сообщили специалисты "Лаборатории Касперского", отметив, что злоумышленники активизируются преимущественно в ночное время — с 01:00 до 05:00.

Их цель — получить удаленный доступ к устройствам жертв, похитить учетные данные и ключи криптовалютных кошельков, а также установить майнеры для нелегальной добычи криптовалюты.

Группа использует сложные схемы атаки, включая рассылку фишинговых писем с вредоносными архивами, защищенными паролем.

После распаковки содержимого файлы перемещаются в определенные папки на компьютере, что позволяет злоумышленникам управлять зараженными системами удаленно.

Вредоносное ПО активируется ночью, за короткое время — около четырех часов — хакеры собирают важную информацию, включая учетные данные и фразы для криптокошельков.

После этого они стирают следы своей деятельности: удаляют созданные файлы и загружают на зараженное устройство майнер для нелегальной добычи криптовалюты.

Исследователи также обнаружили создание фишинговых сайтов, имитирующих российский почтовый сервис, что повышает эффективность атак. Эти сайты рассылают вредоносные архивы через электронную почту, заманивая пользователей открыть их и запустить вредоносный код.

"Лаборатория Касперского" предупреждает о растущих рисках использования QR-кодов в общественных местах — мошенники все чаще подменяют их для кражи данных.

В целом, атаки группировки Librarian Ghouls представляют серьезную угрозу для информационной безопасности российских предприятий и требуют повышенного внимания к защите данных.