Nhóm hacker Librarian Ghouls, còn được biết đến với cái tên Rare Werewolf, đã xâm nhập hàng trăm thiết bị của Nga để khai thác tiền điện tử một cách lén lút. Điều này được báo cáo bởi các chuyên gia của "Laboratory Kaspersky".
Thuật toán lây nhiễm
Kẻ xấu đã truy cập vào hệ thống thông qua các email lừa đảo. Chúng được ngụy trang thành thông điệp từ các tổ chức thực và trông giống như tài liệu chính thức hoặc lệnh thanh toán.
Sau khi máy tính bị nhiễm phần mềm độc hại, hacker thiết lập kết nối từ xa và tắt các hệ thống bảo vệ, bao gồm cả Windows Defender. Họ tắt các hệ thống an ninh, chẳng hạn như Windows Defender. Sau đó, họ cài đặt thiết bị tự động bật vào lúc một giờ sáng và tắt vào lúc năm giờ sáng. Theo ước tính của "Phòng thí nghiệm Kaspersky", đây là cách mà kẻ xấu ẩn giấu hành động của mình khỏi người dùng.
Trong khoảng thời gian này, họ cũng đánh cắp thông tin đăng nhập. Trước khi khởi động máy khai thác, kẻ xấu thu thập thông tin về hệ thống: dung lượng RAM, số lượng lõi bộ xử lý và dữ liệu về card đồ họa. Điều này cho phép họ tối ưu hóa chương trình để khai thác tiền điện tử. Trong khi máy khai thác hoạt động, tin tặc duy trì liên lạc với pool bằng cách gửi yêu cầu mỗi phút.
Khi nào cuộc tấn công bắt đầu
Chiến dịch bắt đầu vào tháng 12 năm 2024 và vẫn đang tiếp diễn cho đến bây giờ. Hàng trăm người dùng Nga đã bị ảnh hưởng, chủ yếu là các doanh nghiệp công nghiệp và các trường đại học kỹ thuật. Một số trường hợp riêng lẻ đã được ghi nhận tại Belarus và Kazakhstan.
Nguồn gốc của nhóm vẫn chưa được xác định. Các nhà phân tích đã lưu ý rằng các email lừa đảo được soạn thảo bằng tiếng Nga, chứa các tệp lưu trữ với các tên tiếng Nga và tài liệu giăng bẫy. Điều này chỉ ra rằng mục tiêu của chiến dịch có thể là người dùng nói tiếng Nga hoặc cư dân của Nga.
Các chuyên gia cho rằng Librarian Ghouls có thể được gọi là những người theo chủ nghĩa hacktivist. Nhóm sử dụng phần mềm hợp pháp của bên thứ ba thay vì phát triển mã độc của riêng mình, một đặc điểm đặc trưng của các hiệp hội như vậy. Theo một công ty khác, BI. ZONE, nhóm Người sói hiếm đã hoạt động ít nhất từ năm 2019.
Nhắc lại, vào tháng 12 năm 2024, các nhà phân tích của "Laboratory Kaspersky" đã nói về một vụ lừa đảo mới trên YouTube
Vào tháng 5, thiệt hại của ngành công nghiệp tiền điện tử do các vụ hack đạt 244 triệu đô la.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Các nhà phân tích đã báo cáo về một làn sóng mới của việc khai thác ẩn ở Nga.
Nhóm hacker Librarian Ghouls, còn được biết đến với cái tên Rare Werewolf, đã xâm nhập hàng trăm thiết bị của Nga để khai thác tiền điện tử một cách lén lút. Điều này được báo cáo bởi các chuyên gia của "Laboratory Kaspersky".
Thuật toán lây nhiễm
Kẻ xấu đã truy cập vào hệ thống thông qua các email lừa đảo. Chúng được ngụy trang thành thông điệp từ các tổ chức thực và trông giống như tài liệu chính thức hoặc lệnh thanh toán.
Sau khi máy tính bị nhiễm phần mềm độc hại, hacker thiết lập kết nối từ xa và tắt các hệ thống bảo vệ, bao gồm cả Windows Defender. Họ tắt các hệ thống an ninh, chẳng hạn như Windows Defender. Sau đó, họ cài đặt thiết bị tự động bật vào lúc một giờ sáng và tắt vào lúc năm giờ sáng. Theo ước tính của "Phòng thí nghiệm Kaspersky", đây là cách mà kẻ xấu ẩn giấu hành động của mình khỏi người dùng.
Trong khoảng thời gian này, họ cũng đánh cắp thông tin đăng nhập. Trước khi khởi động máy khai thác, kẻ xấu thu thập thông tin về hệ thống: dung lượng RAM, số lượng lõi bộ xử lý và dữ liệu về card đồ họa. Điều này cho phép họ tối ưu hóa chương trình để khai thác tiền điện tử. Trong khi máy khai thác hoạt động, tin tặc duy trì liên lạc với pool bằng cách gửi yêu cầu mỗi phút.
Khi nào cuộc tấn công bắt đầu
Chiến dịch bắt đầu vào tháng 12 năm 2024 và vẫn đang tiếp diễn cho đến bây giờ. Hàng trăm người dùng Nga đã bị ảnh hưởng, chủ yếu là các doanh nghiệp công nghiệp và các trường đại học kỹ thuật. Một số trường hợp riêng lẻ đã được ghi nhận tại Belarus và Kazakhstan.
Nguồn gốc của nhóm vẫn chưa được xác định. Các nhà phân tích đã lưu ý rằng các email lừa đảo được soạn thảo bằng tiếng Nga, chứa các tệp lưu trữ với các tên tiếng Nga và tài liệu giăng bẫy. Điều này chỉ ra rằng mục tiêu của chiến dịch có thể là người dùng nói tiếng Nga hoặc cư dân của Nga.
Các chuyên gia cho rằng Librarian Ghouls có thể được gọi là những người theo chủ nghĩa hacktivist. Nhóm sử dụng phần mềm hợp pháp của bên thứ ba thay vì phát triển mã độc của riêng mình, một đặc điểm đặc trưng của các hiệp hội như vậy. Theo một công ty khác, BI. ZONE, nhóm Người sói hiếm đã hoạt động ít nhất từ năm 2019.
Nhắc lại, vào tháng 12 năm 2024, các nhà phân tích của "Laboratory Kaspersky" đã nói về một vụ lừa đảo mới trên YouTube