Таргетирани атаки

Киберпрестъпниците са увеличили използването на домейни-двойници на реално съществуващи такива. По този начин те улеснят различни целеви измами, базирани на социално инженерство, и финансови измами чрез имейл.

Според нов доклад на BlueVoyant този подход е насочен към редица критични сектори – финанси, правни услуги, застраховане и строителство. Атаките са особено трудни за откриване и позволяват на нападателите да разширят видовете организации и лица, към които се насочват.

Домейните-двойници са проектирани така, че да копират автентични домейни, като използват фини промени, за да изглеждат легитимни за жертвите. Обичайните подходи включват използването на визуално сходни символи, като например замяна на „о“ с „0“ или „I“ с „1“, и включване на термини, тясно свързани с марката на клиента. Те могат да бъдат почти точно копие на оригинала.

Най-често наблюдаваните тактики, използващи подобни домейни, включват:

• Измами с фактури: Нападателите се представят за легитимни продавачи или доставчици на услуги. Те предоставят фалшиви фактури, които имат за цел да пренасочат плащанията към сметката на измамника.
• Мним изпълнителен директор: Атакуващите се представят за лица от висшите нива на организацията. Отправят спешни искания за поверителна информация и неразрешени преводи на средства.
• Превземане на акаунт: Нападателят влиза в ролята на представител на дадена компания и иска от клиенти или партньори да проверят чувствителна информация. Целта е превземане на потребителски акаунти или кражба на идентификационни данни.
• Измами с набиране на персонал: Извършва се от името на агенции за набиране на персонал с цел и обявяване на фалшиви свободни работни места. От кандидатите се изисква да споделят лична информация, например номера на лична карта или банкови данни.

За да се защитят, организациите трябва да:

• въведат строг мониторинг на комуникациите си;
• обучат персонала си и партньорите си как да разпознават подобни фишинг тактики.

От втората половина на 2024 г. насам все по-често се наблюдават атаки, при които нападателите използват фалшиви CAPTCHA. Чрез тях те подмамват потребителите да изпълнят злонамерени PowerShell команди и заразяват системите им със зловреден софтуер.

Тези сложни тактики за социално инженерство използват доверието на потребителите и доставят Lumma Stealer, способен да извлича информация за портфейли с криптовалути и други чувствителни данни.

Атаката се развива така:

• потребителите се примамват към злонамерени уебсайтове чрез уеб реклами, SEO hijacking или пренасочване от други компрометирани страници;
• злонамерените уебсайтове показват фалшиви CAPTCHA тестове, които изглеждат легитимни, тъй като копират разпознаваеми интерфейси;
• когато потребителите щракнат върху бутона „Не съм робот“, във фонов режим се изпълнява злонамерен JavaScript код. Той тайно копира PowerShell команда в клипборда на потребителя.

След това потребителят е инструктиран да отвори прозореца за изпълнение на Windows с помощта на клавишната комбинация WIN+R и да постави съдържанието с CTRL+V. По този начин той несъзнателно изпълнява зловредния код.

Тази сложна техника позволява на нападателите да заобиколят традиционните механизми за сигурност. Те използват легитимни действия на потребителя, за да инициират процеса на заразяване.

Mрежите за киберпрестъпления стават все по-свързани с национални държави и засилват атаките си с помощта на изкуствен интелект.

Това твърди Европол в новия си доклад „2025 EU Serious and Organised Crime Threat Assessment“ – EU-SOCTA. В него се описват подробно заплахите срещу държавите и организациите в ЕС, идващи от организираната престъпност, включително в киберпространството.

Правоприлагащата агенция изтъква няколко тенденции, които поставят сериозни предизвикателства пред индустрията за киберсигурност.

„Хибридни зловредни актьори“ и престъпници формират сенчести съюзи

Една от тези тенденции е появата на т.нар. от Европол „хибридни зловредни актьори“. Те използват мрежи за киберпрестъпления за постигане на политически цели срещу други държави. Според доклада това излага ЕС на риск от дестабилизация.

В същото време технологичен напредък – особено в областта на AI – променя начина, по който се организират, изпълняват и прикриват престъпленията.

„Някои държави предоставят убежище на престъпниците в замяна на техните услуги, като им позволяват да действат свободно, без да се страхуват от съдебно преследване“, се казва в EU-SOCTA. „Това също така позволява на тези държави да отричат прякото си участие. Те възлагат определени престъпления като кибератаки, кампании за дезинформация или дори пране на пари на престъпни мрежи“.

Освен това аутсорсингът на атаки към престъпни мрежи със съществуваща инфраструктура е по-рентабилен подход за „хибридни зловредни актьори“. Престъпните мрежи, от своя страна, получават достъп до „най-съвременни инструменти“. Те могат да се използват извън подкрепяните от национални държави атаки, което се превръща в сериозна заплаха за организациите.

Злоупотреба с GenAI, LLM и Deepfake

Друга тенденция, която Европол изтъква, е засилването на престъпната дейност чрез нововъзникващи технологии, по-специално AI. Агенцията подчертава, че генеративният изкуствен интелект (GenAI) е понижил бариерата за навлизане в киберпрестъпността. Той позволява на хакерите да създават по-ефективни фишинг имейли и да автоматизират мащабни атаки.

„Системите, управлявани от изкуствен интелект – LLM, GenAI и др., стават все по-усъвършенствани и удобни за ползване. Престъпните мрежи все повече използват техните възможности в широк спектър от престъпления“, се посочва в доклада.

Киберпрестъпниците използват AI и за създаване на изключително убедителни deepfake за различни атаки и измами. С помощта на изключително реалистични синтетични медии, те са в състояние да заблуждават жертвите, да се представят за висшестоящи лица и да дискредитират или изнудват целите.

„Добавянето на гласови клонинги и видеофайлове, задвижвани от AI, засилва заплахата. Te дават възможност за нови форми на измама, изнудване и кражба на самоличност“, предупреждават от Европол.

В последните месеци, руски хакери са насочили своите усилия към компрометиране на профили в приложението за сигурни съобщения Signal. Известно със своето високо ниво на криптиране и защита на личните данни, сега то е мишена на различни зловредни кампании.

Хакерите използват разнообразни методи за атака, включително фишинг, куишинг и зловреден софтуер. Фишинг атаките включват изпращане на подвеждащи съобщения или имейли, които изглеждат като легитимни, но всъщност съдържат линкове към зловредни сайтове. Когато потребителите кликнат върху тях, личната им информация може да бъде открадната или да изтеглят зловреден софтуер на своите устройства.

Зловредният софтуер, използван от хакерите, е проектиран да прониква в системите на потребителите и да събира чувствителна информация. Това включва съобщения, контакти и дори криптирани данни.

Тези атаки представляват сериозна заплаха за потребителите на Signal и подчертават важността на повишената бдителност и използването на допълнителни мерки за сигурност.

За да се защитите:

• избягвайте да кликате върху линкове или да изтегляте прикачени файлове от съмнителни източници;
• използвайте актуализирани антивирусни програми;
• активирайте двуфакторна автентикация (2FA);
• използвайте силни и уникални пароли за всеки свой акаунт;
• следете новините и актуализациите за киберсигурност, за да бъдете информирани за новите методи на атака и как да се защитите от тях.

 

Двама хакери публично злепоставиха Министерството на правителствената ефективност (DOGE) на Илон Мъск. Те успяха да получат достъп до уебсайта му и оставиха след себе си няколко подигравателни съобщения.

Нападателите разкриват, че използването на уязвимостите на сайта е било проста задача. Според тях всеки с основни умения за кодиране може да направи същото. Те произтичат от използването на база данни, известна като Cloudflare Pages – незащитена платформа, която всеки с достъп може да редактира. Този пропуск е позволил на хакерите да напишат каквото си искат в сайта.

Пробивът идва след амбициозното обещание на Мъск да внесе прозрачност в работата на правителството, като създаде DOGE. Оказва се обаче, че уебсайтът е бил разработен набързо, което в крайна сметка е довело до очевидния провал в сигурността.

Много анализатори акцентират върху по-широките последици от хакерската атака. Според тях тя хвърля сянка върху способността на правителството да управлява своята цифрова инфраструктура.

Само няколко дни преди пробива в DOGE новостартиралият правителствен сайт waste.gov също се сблъска с криза в сигурността. Тя наложи спешно блокиране на достъпа до него, след като беше установено, че е използван незавършен шаблон на WordPress.

54% от глобалните финансови институции са били подложени на кибератаки, при които са били унищожени данни, през миналата година.

Според Modern Bank Heists Report 2025 на Contrast Security това представлява увеличение от 12,5% на т.нар. destructive attacks спрямо 2023. Унищожаването на данни обаче не е насочено само към саботажи и прекъсване на услугите. То се прави и за да се прикрият следи.

Деструктивните варианти на злонамерен софтуер целят да унищожат, нарушат или влошат работата на системите на жертвите. За целта те предприемат действия като криптиране на файлове, изтриване на данни, унищожаване на твърди дискове, прекратяване на връзки или изпълнение на злонамерен код.

Останалите заключения в доклада сочат, че:

• 64% от анкетираните признават, че тяхната институция е била обект на киберинциденти през изминалата година;
• облачните среди и API са двата най-често срещани вектора на атаки;
• за 71% от респондентите Zero day заплахите са най-голямата грижа по отношение на защитата на приложенията и API.

Унищожаването на данни не е единственият проблем, свързан с киберсигурността на финансовия сектор. Около 2/3 от анкетираните заявяват, че нападателите се опитват да откраднат непублична пазарна информация. След това тя се продава с цел борсови манипулации.

Други 48% са регистрирали увеличаване на броя на случаите на превземане на клиентски сметки. 43% пък са претърпели атака от типа island hopping. При нея хакерите използват неоторизиран достъп до банката жертва, за да атакуват нейни клиенти и партньори.

За да се защитят, финансовите институции трябва да:

• наблюдават постоянo API за поведенчески аномалии;
• внедрят ADR, за да блокират атаките в самото начало и улавят уязвимостите в приложенията и API.

 

Нашумeлият в последните дни китайски AI разработчик DeepSeek спря регистрациите в чат платформата си DeepSeek-V3. Причината – продължаваща „мащабна“ кибератака, насочена към нейните услуги.

DeepSeek е сравнително нова платформа за изкуствен интелект. Тя обаче бързо привлече вниманието заради разработването и пускането на усъвършенстван модел със значително по-ниски разходи. Тази новина разтърси из основи фондовия пазар в САЩ.

Точно когато приложението DeepSeek AI Assistant изпревари ChatGPT като най-изтегляното в Apple App Store, компанията е принудена да изключи новите регистрации. Твърди се, че това се дължи на DDoS атака срещу нейния API и самия AI чатбот.

Това не е изненада за професионалната общност. В понеделник доставчикът на киберсигурност KELA обяви, че е успял да пробие модела и да произведе злонамерени резултати. Пробивът включва широк спектър от сценарии – разработване на ransomware софтуер, изработване на чувствително съдържание и подробни инструкции за създаване на токсини и взривни устройства.

Нова кампания на руската група за криптоизмами Crazy Evil таргетира инфлуенсъри в областта на технологиите, игрите и криптовалутите.

Тя пренасочва легитимен трафик към злонамерени целеви страници, които разпространяват усъвършенствани зловредни инструменти като Stealc (за Windows) и AMOS (за macOS).

Изследователите по сигурността от Insikt Group са идентифицирали поне 10 активни платформи за криптоизмами на Crazy Evil. Те се популяризират през социалните медии.

Списъкът включва:

• Voxium – фалшив инструмент за децентрализирана комуникация, изграден върху блокчейн инфраструктурата на криптовалутата Solana;
• Rocket Galaxy – фалшива игра, която разпространява злонамерени полезни товари;
• TyperDex – фалшив софтуер за продуктивност, подпомаган от изкуствен интелект;
• DeMeet – фалшива платформа за „развитие на общносттаˮ с функционалности за чат, планиране на събития и лоялност към марката;
• Фалшиви Zoom и WeChat;
• Selenium Finance – фалшива платформа за управление на цифрови активи;
• Gatherum – фалшив AI софтуер за виртуални срещи.

Crazy Evil има над 3000 последователи в публичния си канал в Telegram. Тя е генерирала над 5 млн. долара незаконни приходи и е заразила десетки хиляди устройства със зловреден софтуер по целия свят. Това я прави изключително голяма заплаха.

За да се защитите от подобни групи:

• използвайте усъвършенствани EDR решения за наблюдение и блокиране на изпълнението на известни семейства зловреден софтуер;
• внедрете инструменти за филтриране на уеб страници за блокиране на достъпа до известни злонамерени домейни, както и на подозрителни изтегляния. Това важи с особена сила за кракнат „безплатен“ софтуер;
• актуализирайте редовно знанията си за напредналите киберзаплахи.

DDoS атака, достигнала максимална скорост от 5,6 Tbps (терабита в секунда), счупи световния рекорд. Тя е извършена от ботнет Mirai с 13 000 компрометирани устройства и е била насочена срещу доставчик на интернет услуги в Източна Азия.

Атаката е продължила 80 секунди, но не е оказала влияние върху целта. Нейното откриване и смекчаване е било напълно автоматично.

Доскорошният рекорд за най-обемна DDoS атака беше 3,8 Tbps от октомври 2024, продължила 65 секунди.

Според Cloudflare хиперволуметричните DDoS атаки зачестяват – тенденция, станала особено забележима през Q3/2024. През Q4 атаките, надхвърлящи 1 Tbps, са скочили с 1885% на тримесечна база.

Тези над 100 млн. pps (пакета в секунда) също са се увеличили със 175%, като забележителните 16% от тях са надхвърлили и 1 млрд. pps.

Компанията твърди, че най-атакуваните цели през последното тримесечие на 2024 са в Китай, Филипините и Тайван, следвани от Хонконг и Германия. Повечето от тях са били в областта на телекомуникациите, доставчиците на услуги, интернет сектора и маркетинга и рекламата.

На практика обаче нито един бизнес не е застрахован – независимо от сферата и региона, в които оперира. За да се защитите:

• използвайте специализираните услуги за защита от DDoS атаки, предлагани от доставчиците на интернет услуги и хостинг компаниите;
• инсталирайте защитни стени и мрежови филтри, които могат да идентифицират и блокират подозрителен трафик;
• постоянно наблюдавайте мрежовия трафик за необичайни активности;
• използвайте CDN (Content Delivery Network) мрежи, които разпределят трафика към различни сървъри;
• поддържайте актуализирани всички софтуерни компоненти, за да няма уязвимости, които могат да бъдат използвани при DDoS атаки;
• инсталирайте AI решения за анализ на трафика в реално време и автоматично блокиране на злонамерени заявки.

Подкрепяната от Китай APT група Silk Typhoon е проникнала в Комитета за чуждестранни инвестиции в САЩ (CFIUS). CFIUS е правителствена служба, която преглежда външните финансови потоци и сделките с недвижими имоти, за да определи ефекта им върху националната сигурност на страната.

Същите нападатели са пробили и Службата за контрол на чуждестранните активи (OFAC), също част от Министерството на финансите. Тя администрира програмите за търговски и икономически санкции.

Не на последно място, те са хакнали и Службата за финансови изследвания на ведомството.

Хакерите използваха откраднат BeyondTrust Remote Support SaaS API ключ, за да проникнат в мрежата на Министерството на финансите на САЩ. За кампанията беше съобщено преди няколко седмици, но досега липсваха подробости за конкретните цели.

Този случай за пореден път повдигна въпроса за важността, която имат външните доставчици за киберсигурността на всяка организация.