Две международных фирмы по борьбе с кибертерроризмом — ClearSky и Profero идентифицировали попытку осуществления серий хакерских атак на сервера крупных израильских компаний.
Об этом сообщается на официальном сайте ClearSky.
Эксперты утверждают, что за атаками с использованием «вирусов-вымогателей» стоит хакерская группа MuddyWater, которую ранее в октябре корпорация Mocrosoft уличила в сотрудничестве с иранским «Корпусом стражей исламской революции» (КСИР).
В сообщении отмечается, что атаки были идентифицированы и отбиты до того, как нанесли какой-либо вред, однако, по мнению специалистов, угроза их повторения остается актуальной, поскольку вредоносные программы-вирусы могли быть внедрены в программное обеспечение ранее и остались незамеченными.
Названия израильских компаний, являвшихся целями хакеров, в сообщении не приводятся по соображениям безопасности.
Вирусы-вымогатели имеют два типа: первый после заражения компьютера (сервера) полностью или частично блокирует работу операционной системы и выдает сообщение с требованием перевести определенную сумму на банковский счет хакеров. Только при условии выполнения этого требования злоумышленники обещают разблокировать систему. В случае отказа они угрожают уничтожением всех хранящихся данных. Во многих случаях такая угроза срабатывает и хакеры добиваются желаемого результата. Нередко из «улов» составляет десятки миллионов долларов, а их жертвы — предприниматели, компании и даже государственные ведомства несут серьезные финансовые потери.
Второй тип вируса-рэкетира работает несколько иначе: внедренная в систему вредоносная программа срабатывает по коду, транслируемого хакерами на все или определенную группу зараженных компьютеров или серверов. После этого запускается сценарий, описанный ранее.
По утверждению специалистов ClearSky и Profero, израильские компьютерные системы были заранее заражены вирусом-вымогателем Thanos, причем способы внедрения разнились в зависимости от установленной на них антивирусной защиты.
В первом случае «инфицирование» систем осуществлялось путем отправленных по электронной почте зараженных вирусом файлов Excel или PDF, во втором — внедрением вируса через выявленную позднее уязвимость в программном обеспечении сервера Microsoft Exchange. В реестре программных «дыр» Microsoft эта уязвимость значится как CVE-2020-0688.
По мнению экспертов, кибератака проиранской хакерской группы, подготовленная по заданию КСИРа, является продолжением ведущейся уже длительное время активной кибервойны между Израилем и Ираном.