Специалисты по кибербезопасности компании Sophos выявили новую волну изощренных атак, проводимых операторами программы-вымогателя 3AM. Злоумышленники применяют комбинированный подход, сочетая массовые фишинговые рассылки с методами социальной инженерии, включая телефонные звонки от лица технической поддержки.
Эволюция тактики киберпреступников
За период с ноября 2024 по январь 2025 года зафиксировано более 55 инцидентов с использованием подобной тактики. Примечательно, что ранее такой подход практиковали преимущественно операторы шифровальщика Black Basta и группировка FIN7. Успешность этой методики привела к её adoption другими злоумышленниками, в частности, операторами 3AM.
Анатомия современной кибератаки
В ходе исследования одного из инцидентов первого квартала 2025 года эксперты Sophos детально изучили механику атаки, длившейся девять дней. Злоумышленники начали с телефонного фишинга, используя подмену номера корпоративного ИТ-отдела. Параллельно жертва подверглась массированной email-атаке, получив 24 вредоносных письма за три минуты.
Технические аспекты компрометации
После получения удаленного доступа через Microsoft Quick Assist атакующие развернули сложную инфраструктуру, включающую VBS-скрипт, эмулятор QEMU и образ Windows 7 с бэкдором QDoor. Использование QEMU позволило замаскировать вредоносный трафик, пропуская его через виртуальные машины.
Последствия и масштаб ущерба
Несмотря на блокировку попыток распространения шифровальщика системами защиты, злоумышленникам удалось похитить 868 ГБ данных через облачное хранилище Backblaze с помощью инструмента GoodSync. Компрометация ограничилась кражей данных и шифрованием одного хоста благодаря своевременному реагированию средств защиты.
Рекомендации по усилению защиты
Для противодействия подобным атакам специалисты рекомендуют комплексный подход к безопасности: регулярный аудит привилегированных учетных записей, внедрение XDR-решений для контроля легитимных инструментов, настройку политик выполнения PowerShell и использование актуальных индикаторов компрометации для блокировки известных угроз.
Растущая изощренность атак программ-вымогателей требует от организаций постоянной бдительности и совершенствования механизмов защиты. Особое внимание следует уделять обучению персонала методам противодействия социальной инженерии и внедрению многоуровневых систем безопасности.