Хакери з росії використовують активатор Windows KMS для крадіжки персональних даних українців

російська хакерська група Sandworm атакує українських користувачів Windows за допомогою троянів в активаторах KMS та підроблених оновленнях.

Дослідники EclecticIQ виявили кібератаки, що розпочалися наприкінці 2023 року, які пов’язують із угрупованням Sandworm (APT44). Хакери використовують завантажувач BACKORDER для поширення шкідливого програмного забезпечення DarkCrystal RAT (DcRAT), а також реєструють атакуючі домени через ProtonMail.

Sandworm запроваджує трояни через підроблені активатори Windows KMS. Після встановлення вони відключають Windows Defender, записують натискання клавіш, викрадають файли cookie, паролі та системну інформацію, а потім передають їх на сервери зловмисників.

Хакери використовують поширеність піратського програмного забезпечення в Україні, включаючи держустанови, щоб масово заражати пристрої. EclecticIQ попереджає, що атаки Sandworm становлять серйозну загрозу національній безпеці та критичній інфраструктурі.

У першій половині 2024 р. російські хакерські угруповання змістили фокус своїх кібератак на цілі, пов’язані з бойовими діями та постачальниками послуг. Про це йдеться в аналітичному звіті “російські кібероперації” за перше півріччя 2024 року, підготовленому фахівцями Держспецзв’язку.

За даними звіту, якщо раніше російські хакери зосереджувалися на одноразових атаках, то тепер їх стратегія спрямована на закріплення в системах, приховане отримання інформації та використання кіберзасобів для збору даних про результати їхніх фізичних ударів.

Держспецзв’язку зазначає, що ІТ-сектор демонструє високу здатність швидкого відновлення після кібератак і навіть посилюється після кожного інциденту. У звіті також аналізуються нові тенденції у тактиці російських хакерів, визначаються нові загрози та наводяться уроки, які винесли українські кіберзахисники з цього досвіду.