březen 2025 viděl významný vývoj taktiky kybernetické hrozby, s ransomwarovým skupinami přijímají nové techniky a rozšiřují své operace. Výzkumníci zabezpečení tento měsíc identifikovali několik hrozeb s vysokým dopadem, včetně posunu skupiny podnikové špionáže na ransomware, Nové nástroje EDR Evasion, Sofistikované útoky národního státu, a klamné phishingové kampaně zaměřené na podniky. Tato komplexní analýza zahrnuje nejvýznamnější vývoj kybernetické bezpečnosti, o kterém by se měli odborníci na bezpečnost a podniky vědom.
Zdroj: Analyzované údaje z Acronis Threat Research Unit v kombinaci s posouzením dopadu průmyslu
Redcurl se vyvíjí: Společnost Corporate SPORIONAge Group uvádí na trh první kampaň ransomware s QWCrypt
V březnu 26, 2025, Výzkumníci bezpečnosti zjistili, že notoricky známá hackerská skupina Redcurl (Také známý jako Země Kapre a Red Wolf) se posunula ze svých tradičních činností v oblasti špionáže na nasazení ransomwaru poprvé. Tento strategický pivot znamená významný vývoj v taktice skupiny, techniky, a postupy (TTPS).
Technická analýza qwcrypt ransomware
Nově identifikovaný kmen ransomwaru, pojmenován qwcrypt, Konkrétně se zaměřuje na virtuální stroje, což je obzvláště nebezpečné pro organizace s virtualizovanou infrastrukturou. Útokový řetězec malwaru začíná sofistikovanými e-maily phishingové kopce obsahující návnady s tématem HR. Tyto e -maily doručují škodlivé soubory PDF a ISO, které nakládají malware prostřednictvím legitimního spustitelného souboru Adobe, Využívání důvěryhodných aplikačních cest k vyhýbání se detekci.
| Fáze útoku | Technické podrobnosti |
|---|---|
| Počáteční přístup | E-maily phishingové kopce s nástrahami s tématem HR obsahujících škodlivé soubory PDF a ISO |
| Provedení | Malware nakládání s legitimním spustitelným souborem Adobe |
| Vytrvalost | Úpravy registru a plánované úkoly vytvořené se systémovými oprávněními |
| Boční pohyb | Krádež pověření a vykořisťování nepoškozených zranitelnosti |
| Dopad | Šifrování virtuálních strojů, Vykreslování celé infrastruktury |
Zdá se, že design ransomwaru napodobuje prvky z zavedených skupin jako Lockbit a Hardbit, potenciálně zaměnit úsilí o přiřazení. Zejména, Vědci neidentifikovali specializovaný web pro únik spojený s těmito útoky, Vyvolávání otázek o tom, zda je poptávka výkupného pravá, nebo zda nasazení ransomwaru slouží jako rozptýlení od tradičních špionážních činností skupiny.
Cíle a geografické rozdělení
Redcurl má historicky cílené organizace v Kanadě, Německo, Norsko, Spojené království, a Spojené státy. Posun skupiny k operacím ransomwaru potenciálně rozšiřuje svůj profil hrozeb z krádeže dat na operační narušení v těchto regionech.
Edrkillshifter: Nástroj pro bezpečnostní úniky společnosti Ransomhub propojuje více skupin pro počítačovou kriminalitu
Ve významném vývoji sledovaném po celý březen, Vědci v oblasti bezpečnosti objevili spojení mezi třemi samostatnými skupinami pro počítačovou kriminalitu pomocí běžného nástroje pro úniku v oblasti bezpečnosti s názvem Edrkillshifter. Tento nástroj, Původně vyvinuté pro přidružené subjekty ransomhub ransomware-as-a-service (Raas) operace, Využívá zranitelné řidiče k deaktivaci detekce a reakce na koncové body (Edr) software.
Schopnosti nástroje a technické podrobnosti
Edrkillshifter představuje pokročilý “Přineste svůj vlastní zranitelný řidič” (Byovd) přístup k deaktivaci bezpečnostní obrany. Nástroj se zaměřuje na legitimní, ale zranitelné ovladače systému, Využívání jejich uzavření ochranných opatření v operačním systému. Při úspěšném nasazení, Efektivně oslepuje bezpečnostní nástroje k následným škodlivým činnostem.
Nově identifikovaný herec hrozby, daboval Quadswitcher, byl pozorován pomocí Edrkillshifter při útocích připisovaných více skupinám ransomware, počítaje v to:
- Ransomhub
- Přehrajte ransomware
- Medusa Ransomware
- Bianlian Ransomware
Vědci potvrdili spojení mezi těmito skupinami analýzou sdílených vzorků Edrkillshifter a infrastruktury serveru příkazového a kontroly, demonstrace, jak se nástroje sdílí v různých operacích ransomwaru.
Doporučení obrany
Protože tyto útoky vyžadují administrativní přístup, Organizace mohou implementovat několik preventivních opatření:
- Implementujte blokování řidičů pro známé zranitelné ovladače
- Pro ochranu použijte funkci blocklistu Driver Blocklist Driver Defender
- Monitorujte události načítání ovladačů, zejména ty, které jsou spojeny s nástroji třetích stran
- Nasadit pokročilá řešení EDR, která mohou detekovat pokusy o deaktivaci bezpečnostního softwaru
- Implementujte silné kontroly přístupu, abyste zabránili útočníkům získávat správní oprávnění
Vzestup zabijáků EDR zdůrazňuje trend v taktice ransomware, Jako herci hrozby se neustále přizpůsobují obcházení stále sofistikovanějších bezpečnostních obrany.
Čínská skupina APT Skupina FAMLSSPARROW vyvíjí útočný nástroj se Shadowpad
Vědci v oblasti bezpečnosti identifikovali cílené útoky proti U.S. obchodní skupina a mexický výzkumný ústav připisovaný čínskému pokročilému přetrvávajícímu hrozbě (Apt) Skupina slavného Sparrow. Kampaň, poprvé zjištěno na začátku března 2025, Zahrnuje nasazení podpisu skupiny SparrowDoor Backdoor spolu s malwarem Shadowpad - označení prvního pozorovaného instance FARLSSPARROW pomocí tohoto konkrétního nástroje.
Technické podrobnosti o útoku
Analýza kampaně odhalila dvě nové verze SparrowDoor, včetně výrazně vylepšené modulární varianty se zlepšenými schopnostmi provádění příkazů. Sekvence útoku sleduje známý vzor pro herce národního státu:
- Počáteční přístup: Využívání zastaralých zrakopisů serveru Windows Server a Microsoft Exchange
- Vytrvalost: Nasazení sofistikované webové skořápky pro udržování přístupu
- Dodávka užitečného zatížení: Instalace malwaru Sparrowdoor Backdoor a Shadowpad
Modulární verze SparrowDoor podporuje více pokročilých schopností, počítaje v to:
- Přihlášení k klávesnici pro krádež pověření
- Přenos souborů pro exfiltrace dat
- Procesní manipulace pro udržení tajnosti
- Zachycení vzdáleného stolního počítače pro shromažďování vizuální inteligence
Shadowpad, modulární backdoor běžně spojený s čínskými státem sponzorovanými hrozbami, Významně rozšiřuje schopnosti slavného Sparrowa, Navrhování potenciální spolupráce nebo sdílení nástrojů mezi čínskými apt skupinami.
Varování FBI: Falešné převodníky souborů krást informace a nasazení ransomwaru
FBI Denver Field Office vydala naléhavé varování po pozorování nárůstu zpráv o falešných online převodnících dokumentů, které se používají k ukradnutí citlivých informací a nasazení ransomwaru. Toto varování, vydáno v březnu 20, 2025, zdůrazňuje týkající se trendu zaměřeného na osobní i obchodní uživatele.
Jak útok funguje
Kybernetičci vytvářejí klamné webové stránky, které tvrdí, že poskytují bezplatné služby převodu dokumentů, ale skrývají škodlivé úmysly:
- Uživatelé, kteří hledají nástroje pro převod dokumentů, se setkávají s těmito stránkami, často propagováno prostřednictvím reklam Google
- Weby se zdají legitimní a mohou ve skutečnosti poskytovat slibovanou funkčnost konverze
- Když uživatelé nahrávají dokumenty pro převod, weby extrahují citlivé informace z obsahu souboru
- Vrácené převedené soubory obsahují vestavěný malware, který vytváří vzdálený přístup
- V závažnějších případech, Ransomware je nasazen, Šifrování souborů oběti
Vědci identifikovali několik ukazatelů, které pomáhají identifikovat tyto podvodné převodníky:
| Varovné znamení | Podrobnosti |
|---|---|
| Věk domény | Obvykle se zaregistrováno v minulosti 30 dní |
| Zásady ochrany osobních údajů | Chybějící nebo extrémně vágní informace o ochraně osobních údajů |
| Kontaktní informace | Žádné legitimní obchodní kontaktní údaje |
| Certifikát SSL | Často používání bezplatných certifikátů s minimální ověření |
| Návrh webových stránek | Klon legitimních služeb s drobnými úpravami |
Malware dodávaný prostřednictvím těchto služeb může získat širokou škálu citlivých informací, včetně jmen, hesla, semena kryptoměny, a bankovní pověření, což vede k významným finančním ztrátám obětí.
Předcházení falešným útokům převodníku
Chránit před těmito hrozbami, FBI doporučuje několik preventivních opatření:
- Používejte pouze zavedené, Renomované nástroje a služby přeměny souborů
- Nainstalujte komplexní bezpečnostní software, který dokáže identifikovat škodlivé webové stránky
- Před nahráním citlivých dokumentů ověřte legitimitu webových stránek
- Při manipulaci s citlivými informacemi zvažte použití nástrojů pro převod offline
- Pravidelně zálohujte kritické soubory, abyste mohli zotavit v případě útoku ransomwaru
Pro podniky a jednotlivce, kteří se již stali obětí těchto podvodů, výzva Proces odstraňování malwaru je nezbytný ke zmírnění potenciálního poškození.
Profesionálové SEO zaměřené na sofistikovanou phishingovou kampaň
Nově identifikovaná phishingová kampaň se konkrétně zaměřuje na profesionály SEO pomocí falešných reklam SEMRUSH Google navržené pro ukradení pověření účtu Google. Semrush, Populární platforma SaaS poskytující nástroje pro SEO, Online reklama, a marketing obsahu, se vydává v této vysoce cílené kampani.
Podrobnosti a cíle kampaně
Analytici bezpečnosti se domnívají, Co se konkrétně zaměřuje na zachycení reklam Google, odpovídá za zahájení dalších malvertitivních útoků. Operace demonstruje sofistikované porozumění ekosystému digitálního marketingu:
- Útočníci vytvářejí přesvědčivé phishingové stránky napodobující rozhraní Semrushovi
- Tyto stránky používají doménová jména podobná SEMRUSH, ale s různými doménami nejvyšší úrovně
- Oběti jsou nuceny autentizovat se prostřednictvím “Přihlaste se pomocí Google” funkčnost
- Když jsou zadány pověření, Útočníci získají přístup k účtu Google oběti
- Tento přístup umožňuje krádež citlivých obchodních dat z Google Analytics a Google Search Console
V souvisejícím vývoji, Další probíhající phishingová kampaň je využití falešných reklam Deepseek ve výsledcích vyhledávání Google, aby doručila Heracles MSIL Trojan, malware ukradení informací zaměřujících se na peněženky kryptoměny. Tato kampaň využívá sponzorované výsledky vyhledávání Google k nasměrování obětí na škodlivé webové stránky, které distribuují InfosteAler.
Dopad a prevence průmyslu
Tyto phishingové kampaně zdůrazňují vyvíjející se povahu cílených útoků proti konkrétním profesionálním skupinám. Odborníci na SEO a digitální marketing by měli implementovat další bezpečnostní opatření, počítaje v to:
- Povolení vícefaktorového ověřování na všech účtech Google
- Před zadáním přihlašovacích údajů pečlivě ověřte adresu URL přihlašovacích stránek
- Používání správců hesel s možnostem detekce phishingu
- Být skeptický vůči reklamám Google pro softwarové služby, i když se objevují na vrcholu výsledků vyhledávání
- Implementace školení o bezpečnostním povědomí o celé společnosti o těchto konkrétních hrozbách
Organizace by také měly zvážit implementaci Komplexní bezpečnostní řešení které mohou automaticky detekovat a blokovat pokusy o phishing a stahování malwaru.
Koordinovaná obrana: Reakce na rozvíjející se hrozbu
Jak ukazují tyto hrozby, Kybernetická taktika se nadále vyvíjí v sofistikovanosti a dopadu. Organizace by měly přijmout vícevrstvý bezpečnostní přístup, který zahrnuje:
- Řízení zranitelnosti: Udržujte aktuální soupis systémů a implementujte pravidelné opravy, zejména pro aplikace orientované na internet, jako je Microsoft Exchange.
- Zabezpečení e -mailu: Nasadit pokročilá řešení pro filtrování e -mailů k detekci a blokování sofistikovaných pokusů o phishing, zejména ti, kteří používají nástrahy s tématem HR.
- Řešení EDR/XDR: Implementujte moderní platformy pro ochranu koncových bodů, které mohou detekovat a reagovat na pokusy o deaktivaci bezpečnostních nástrojů.
- Bezpečnostní povědomí: Provádět pravidelné školení pro zaměstnance, se zvláštním zaměřením na rozpoznávání pokusů o phishing a podezřelé webové stránky.
- Plánování reakce na incident: Vyvíjejte a pravidelně testujte postupy odezvy na incidenty, abyste zajistili rychlé omezení a zotavení v případě narušení bezpečnosti.
Konvergence operací ransomwaru, Taktika národního státu, A cílené phishingové kampaně vytváří náročné bezpečnostní prostředí, které vyžaduje ostražitost a proaktivní obranná opatření. Tím, že zůstanete informováni o nových hrozbách a prováděním vhodných bezpečnostních kontrol, Organizace mohou v této vyvíjející se krajině snížit svou expozici rizika.
Pro jednotlivce a podniky znepokojené potenciálními infekcemi, Zvažte použití nástrojů jako Trojan Remover Chcete -li skenovat a eliminovat malware, který by již mohl ohrozit vaše systémy.