Операторы вымогателя 3AM совершенствуют методы социальной инженерии в целевых атаках

CyberSecureFox 🦊

Специалисты по кибербезопасности компании Sophos выявили новую волну изощренных атак, проводимых операторами программы-вымогателя 3AM. Злоумышленники применяют комбинированный подход, сочетая массовые фишинговые рассылки с методами социальной инженерии, включая телефонные звонки от лица технической поддержки.

Эволюция тактики киберпреступников

За период с ноября 2024 по январь 2025 года зафиксировано более 55 инцидентов с использованием подобной тактики. Примечательно, что ранее такой подход практиковали преимущественно операторы шифровальщика Black Basta и группировка FIN7. Успешность этой методики привела к её adoption другими злоумышленниками, в частности, операторами 3AM.

Анатомия современной кибератаки

В ходе исследования одного из инцидентов первого квартала 2025 года эксперты Sophos детально изучили механику атаки, длившейся девять дней. Злоумышленники начали с телефонного фишинга, используя подмену номера корпоративного ИТ-отдела. Параллельно жертва подверглась массированной email-атаке, получив 24 вредоносных письма за три минуты.

Технические аспекты компрометации

После получения удаленного доступа через Microsoft Quick Assist атакующие развернули сложную инфраструктуру, включающую VBS-скрипт, эмулятор QEMU и образ Windows 7 с бэкдором QDoor. Использование QEMU позволило замаскировать вредоносный трафик, пропуская его через виртуальные машины.

Последствия и масштаб ущерба

Несмотря на блокировку попыток распространения шифровальщика системами защиты, злоумышленникам удалось похитить 868 ГБ данных через облачное хранилище Backblaze с помощью инструмента GoodSync. Компрометация ограничилась кражей данных и шифрованием одного хоста благодаря своевременному реагированию средств защиты.

Рекомендации по усилению защиты

Для противодействия подобным атакам специалисты рекомендуют комплексный подход к безопасности: регулярный аудит привилегированных учетных записей, внедрение XDR-решений для контроля легитимных инструментов, настройку политик выполнения PowerShell и использование актуальных индикаторов компрометации для блокировки известных угроз.

Растущая изощренность атак программ-вымогателей требует от организаций постоянной бдительности и совершенствования механизмов защиты. Особое внимание следует уделять обучению персонала методам противодействия социальной инженерии и внедрению многоуровневых систем безопасности.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.