Русские и северокорейские Хакеры украли 2 ТБ данных из южнокорейских банков

Финансовый сектор Южной Кореи подвергся одному из самых разрушительных кибератак за последние годы. Согласно данным компании по кибербезопасности Bitdefender, страна стала целью скоординированной атаки на цепочку поставок, в которой участвовали злоумышленники, связанные с Россией и Северной Кореей, что привело к развертыванию программ-вымогателей Qilin и краже более 2 терабайт данных у 28 жертв, большинство из которых принадлежит финансовому сектору. Следователи выяснили, что атака была не разовым инцидентом, а частью широкой, многофазной кампании, известной как Корейские утечки, которая объединила продвинутые методы программ-вымогателей с политической пропагандой и целенаправленной эксплуатацией уязвимостей цепочки поставок.

Внезапный всплеск: с 2 инцидентов в месяц до 25 в сентябре Битдефендер начал расследование после обнаружения необычного роста активности программ-вымогателей в сентябре:

В тот месяц было зарегистрировано 25 случаев программ-вымогателей, по сравнению с обычными двумя случаями в месяц, зафиксированными с сентября 2024 года по август этого года. Из этих атак 24 были нацелены на финансовые организации, что подчеркивает высокий уровень планирования и координации. Согласно последним данным, Южная Корея теперь является второй по числу атак страной в мире по программам-вымогателям — уступая только Соединённым Штатам.

Qilin: Одна из самых агрессивных групп вымогателей 2024 года Группа программ-вымогателей Qilin, работающая по модели Ransomware-as-a-Service, является одной из самых активных угроз этого года. Только в октябре Qilin была ответственна за более чем 180 жертв, и, согласно NCC Group, она стоит за 29% всех глобальных атак программ-вымогателей. Анализ Bitdefender указывает на то, что Qilin имеет российские корни: учредительный член BianLian общается на русском и английском языках, активен на русскоязычных форумах киберпреступности, и группа избегает атак на организации в странах СНГ — общая правило среди российских киберпреступных синдикатов. Внутренняя структура Цилина хорошо организована: он нанимает внешних хакеров для проведения атак, основные операторы получают процент от выплат выкупа, а группа даже поддерживает «внутреннюю команду журналистов», которая составляет сообщения об вымогательстве и пропаганду для своей платформы утечек. Пропаганда и психологическая война: Хакеры, выдающие себя за «активистов» Отчет о утечках в Корее от Bitdefender показывает, что эта кампания не была стандартной операцией-вымогателем. Нападающие смешали киберпреступность с политическим сообщением, используя: язык в стиле активиста, патриотическая и националистическая риторика, а также повторные ссылки на передачу украденных данных руководству Северной Кореи. Одно утекшее сообщение гласило: «Доклад о найденных документах уже готовится для товарища Ким Чен Ына.» Это слияние пропаганды с тактикой программ-вымогателей указывает на гибридную операцию, которая выходит за рамки традиционных преступных мотивов.

Три волны атак: более 1 миллиона файлов и 2 ТБ данных украдено Кампания Korean Leaks развивалась в три различных волны: 14 сентября – первая волна, нацеленная на 10 финансовых управляющих компаний 17–19 сентября – вторая волна, добавляющая еще 9 жертв 28 сентября – 4 октября – третья волна, нацеленная на 9 дополнительных организаций Всего злоумышленники украли более 1 миллиона файлов и 2 ТБ конфиденциальных данных.

Четыре дополнительных названия компаний были позже удалены с утечечного сайта Qilin, вероятно, из-за выплат выкупа или внутренних решений операторов. Во время второй волны хакеры выдвинули пугающую угрозу: «У нас есть данные, которые нанесут серьезный удар по всему корейскому рынку. Если платеж не будет произведен, мы их опубликуем.»

Нарушение цепочки поставок: Основная точка входа Согласно отчету JoongAng Daily, более 20 компаний по управлению активами были скомпрометированы после того, как хакеры взломали GJTec, провайдера управляемых услуг.

Это снова подчеркивает, как атаки на цепочку поставок могут усиливать ущерб во всем секторе.

Заключение: Гибридная операция, сочетающая российские технологии и северокорейские сообщения Атака Korean Leaks занимает одно из значительных мест среди операций программ-вымогателей этого года — не только из-за объема украденных данных, но и из-за гибридной природы кампании, которая сочетала в себе программное обеспечение-вымогатель, тактики политического влияния и систематическую эксплуатацию уязвимостей в цепочке поставок. Эксперты предупреждают, что этот инцидент является ярким напоминанием о растущей глобальной тенденции:

государственно связанные кибергруппы все чаще ставят приоритетом проникновение в цепочку поставок как основной вектор атаки.

#cyberattack , #Кибербезопасность , #russia , #ГлобальнаяБезопасность , #CryptoNews

Будьте на шаг впереди – следите за нашим профилем и будьте в курсе всего важного в мире криптовалют! Уведомление: ,Информация и мнения, представленные в этой статье, предназначены исключительно для образовательных целей и не должны рассматриваться как инвестиционные советы в любой ситуации. Содержимое этих страниц не следует рассматривать как финансовые, инвестиционные или любые другие советы. Мы предупреждаем, что инвестиции в криптовалюты могут быть рискованными и могут привести к финансовым потерям.“