В России заметили новую киберпреступную группировку

Компании в сфере кибербезопасности обнаружили активность в России хакерской группировки XDSpy, пишет «Коммерсант». Об этом рассказали опрошенные компании в сфере кибербезопасности. Экспертный центр безопасности Positive Technologies выявил за 2019—2020 годы четыре атаки XDSpy на промышленные предприятия и организации государственного сектора России. Атаки были успешными, так как изученные образцы вредоносного ПО подтверждали сбор, шифровку и отправку данных на серверы злоумышленников.

Атаки XDSpy начинаются с фишингового письма по электронной почте с вложениями, например файлами PowerPoint, ZIP или ярлыками, загрузка которых заражает жертву вредоносными программами.

Жертвы XDSpy находятся в основном в России, меньшая их часть — в Белоруссии, подтверждает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо, одиночные жертвы были обнаружены в Азиатско-Тихоокеанском регионе. Именно об атаке этой группировки шла речь в сообщении Национального центра реагирования на компьютерные инциденты Белоруссии в феврале 2020 года, уверена руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова. Тогда злоумышленники получили доступ к скомпрометированным учетным записям нескольких электронных ящиков и с них отправляли веерную рассылку примерно на 100 адресов сотрудников госорганов и организаций.

В ESET полагают, что XDSpy занимается шпионажем и собирает разведданные для иностранного правительства. В компании отметили, что многие образцы вредоносных программ XDSpy были составлены в восточноевропейских часовых поясах. По мнению Тихоновой, злоумышленники были финансово мотивированы и их целью могла быть дальнейшая продажа полученных доступов к корпоративным и государственным сетям, которыми могли воспользоваться уже серьезные прогосударственные хакерские группы, в том числе для шпионажа или кибердиверсий.