Одна из самых опасных преступных группировок в киберпреступности расширила свой арсенал, добавив две дополнительные нагрузки вымогательского программного обеспечения, как сообщили эксперты по безопасности Microsoft.
В посте на X/Twitter исследователи по кибербезопасности из Microsoft описали, как Octo Tempest, известный своими «сложными техниками социальной инженерии, компрометации личности и стойкости», теперь использует RansomHub и Qilin.
В треде исследователи Microsoft добавили, что обычно Octo Tempest нацеливается на серверы VMWare ESXi и стремится развернуть вымогательское программное обеспечение BlackCat — так что добавление новых нагрузок, которое, по-видимому, было введено во втором квартале 2024 года, может быть связано с тем, что BlackCat теперь приостановлен.
Ранее в этом году аффилированный субъект взломал компанию Change Healthcare и смог вымогать у компании 22 миллиона долларов. Однако деньги не достигли аффилированного субъекта, совершившего взлом, и вместо этого были получены владельцами BlackCat, которые закрыли всю операцию и исчезли.
Аффилированный субъект, который остался с гигабайтами чувствительной информации, впоследствии стал RansomHub, одной из двух нагрузок, сейчас используемых Octo Tempest. Несмотря на то, что он является относительно молодым игроком в сфере вымогательского программного обеспечения, RansomHub делает себе имя, беря на себя ответственность за атаки на компании Christie’s, Rite Aid и NRS Healthcare.
Microsoft добавило, что было замечено, как RansomHub развертывался в действиях после компрометации Manatee Tempest, следуя за начальным доступом Mustard Tempest через инфекции FakeUpdates/Socgholish.
Microsoft впервые раскрыл Octo Tempest в октябре 2023 года, когда опубликовал подробный анализ угрозы, отметив, что хакеры являются носителями английского языка, мотивированы финансово, обладают обширными знаниями, обширным опытом и нулевой совестью.
Octo Tempest был основан в начале 2022 года и тогда он был ориентирован в основном на продажу SIM-замен и кражу аккаунтов людей, обладающих криптовалютами. Через несколько месяцев группа расширила свои операции и начала рыболовство, социальную инженерию, а также сброс огромных объемов паролей взломанных поставщиков услуг.
Источник: TechRadar
