Хакеры из россии используют активатор Windows KMS для кражи персональных данных украинцев

Российская хакерская группа Sandworm атакует украинских пользователей Windows с помощью троянов в активаторах KMS и поддельных обновлениях.

Исследователи EclecticIQ обнаружили кибератаки, начавшиеся в конце 2023 года, которые связывают с группировкой Sandworm (APT44). Хакеры используют загрузчик BACKORDER для распространения вредоносного ПО DarkCrystal RAT (DcRAT), а также регистрируют атакующие домены через ProtonMail.

Sandworm внедряет трояны через поддельные активаторы Windows KMS. После установки они отключают Windows Defender, записывают нажатия клавиш, похищают файлы cookie, пароли и системную информацию, а затем передают их на серверы злоумышленников.

Хакеры используют распространённость пиратского ПО в Украине, включая госучреждения, чтобы массово заражать устройства. EclecticIQ предупреждает, что атаки Sandworm представляют серьёзную угрозу национальной безопасности и критической инфраструктуре.

В первой половине 2024 г. российские хакерские группировки сместили фокус своих кибератак на цели, связанные с боевыми действиями и поставщиками услуг. Об этом говорится в аналитическом отчете «российские кибероперации» за первое полугодие 2024 года, подготовленном специалистами Госспецсвязи.

По данным отчета, если раньше российские хакеры сосредотачивались на одноразовых атаках, то теперь их стратегия направлена ​​на закрепление в системах, скрытое получение информации и использование киберсредств для сбора данных о результатах их физических ударов.

Госспецсвязи отмечает, что ИТ-сектор демонстрирует высокую способность быстрого восстановления после кибератак и даже усиливается после каждого инцидента. В отчете также анализируются новые тенденции в тактике российских хакеров, определяются новые угрозы и приводятся уроки, вынесенные украинскими киберзащитниками из этого опыта.