Волшебный паук

Волшебный Паук , также известный как Трикбот , DEV-0193 , UNC2053 или Барвинок Буря , ^[1] — это группа киберпреступников , базирующаяся в Санкт-Петербурге и его окрестностях в России . ^[2]^[3]^[4] Некоторые участники могут базироваться в Украина . ^[3] По оценкам, их около 80 человек, некоторые из них могут не знать, что работают в преступной организации. ^[2]^[5]

Группа стала объектом внимания Европола , Интерпола , ФБР , а также Национального агентства по борьбе с преступностью Соединенного Королевства . ^[2]

История

В 2018 году группы начали использовать Trickbot , Ryuk и Conti программы-вымогатели в качестве основных инструментов. ^[2]

Они также разработали шпионское программное обеспечение Sidoh, которое только собирает информацию и не требует за нее выкупа. ^[3]^[6]

Режим работы

ПРОДАФТ написал технический отчет с описанием атак и организации. Атаки обычно начинаются с рассылки большого количества спама по адресатам, чтобы обманом заставить жертв загрузить вредоносное ПО. Они используют вредоносное ПО Qbot и SystemBC, а также пишут свои собственные. Отдельная команда выявляет ценные цели и с помощью Cobalt Strike атакует их . Если они получают контроль над системой, они внедряют программу-вымогатель. ^[7]

Они одновременно перевели биткойны от атак программ-вымогателей Ryuk и Conti в свои собственные кошельки, подразумевая, что они проводят несколько атак с использованием различных вредоносных программ. ^[3]

Они очень заботятся о безопасности и не размещают открытую рекламу в даркнете . Они будут работать или продавать доступ только тем преступникам, которым они доверяют. Известно, что они принижают своих жертв через сайт утечки. ^[2] Сайт утечки также используется для публикации украденных данных. ^[3]

Спецслужбы заявляют, что группировка не атакует цели в России, а ее ключевые фигуры не выезжают за пределы страны из-за страха быть арестованными. ^[2]^[3] The Irish Times сообщает, что программное обеспечение Wizard Spider запрограммировано на самоудаление, если обнаружит, что система использует русский язык или если система имеет IP-адрес в бывшем Советском Союзе . ^[3] Однако исследование PRODAFT показало, что большая часть машин, зараженных SystemBC, находится в России (20,5%). ^[7]

Россию подозревают в терпимости к паукам-волшебникам и даже в содействии им. ^[3]

Предполагаемые атаки

Их подозревают в причастности к кибератаке на Управление Ирландии здравоохранения . ^[8]^[2] Это крупнейшая известная атака на компьютерную систему службы здравоохранения. ^[3]

Ключевые фигуры подозреваются в причастности к онлайн-атакам с использованием программного обеспечения Dyre . ^[2]

Партнеры

Они связаны с UNC1878, TEMP.MixMaster и Grim Spider. ^[5]

Согласно отчету Джона ДиМаджио, озаглавленному «Мафия выкупа: анализ первого в мире картеля-вымогателя», эта группа входит в группу преступников, известную как Картель выкупа или Картель Лабиринта . ^[3] Это крупнейшая из группировок, действующих в картеле. ^[3]^[6] Остальные участники: TWISTED SPIDER, VIKING SPIDER, LockBit и банда SunCrypt. банда ^[3] Все используют программы-вымогатели для вымогательства денег. ^[3]^[6] SunCrypt уже ушел на пенсию. ^[6]

Авторы отчета PRODAFT обнаружили, что Wizard Spider иногда выполнял резервное копирование данных на сервер и что сервер содержал данные из систем, которые также были атакованы REvil , однако авторы не смогли сделать вывод, какая из двух групп взяла данные. ^[7]

Ссылки

^ «Как Microsoft называет субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Рейнольдс, Пол (18 мая 2021 г.). « Паук-волшебник: кто они и как действуют?» . Новости РТЭ . Проверено 18 мая 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м Лалли, Конор (18 мая 2021 г.). «Профиль Wizard Spider: банда, подозреваемая в нападении на HSE, является частью первого в мире киберкартеля» . Ирландские Таймс . Проверено 19 мая 2021 г.
^ Берджесс, Мэтт (1 февраля 2022 г.). «Внутри Trickbot, печально известной российской банды вымогателей» . Проводной . Проверено 15 февраля 2022 г.
^ Jump up to: ^а ^б «Сопоставление с пауком-волшебником» . МИТРА Щит . Корпорация Митра . Архивировано из оригинала 28 января 2021 года . Проверено 18 мая 2021 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
^ Jump up to: ^а ^б ^с ^д ДиМаджио, Джон. «Выкупная мафия — анализ первого в мире картеля-вымогателя» . Аналитик1 . Проверено 19 мая 2021 г.
^ Jump up to: ^а ^б ^с Берт, Джефф (18 мая 2022 г.). «Знакомьтесь, Wizard Spider, многомиллионная банда, стоящая за вредоносным ПО Conti, Ryuk» . Регистр . Проверено 20 мая 2022 г.
^ Молони, Шонан; Веклер, Адриан (17 мая 2021 г.). «Киберэксперты охотятся за скрытыми хакерами во всех правительственных ведомствах, поскольку российские хакеры нацелены на здравоохранение» . Ирландская независимая газета . Проверено 18 мая 2021 г.

Внешние ссылки

Углубленный анализ Wizard Spider Group – отчет PRODAFT, 16 мая 2022 г.

Эта статья, связанная с организацией, незавершена . Вы можете помочь Википедии, расширив ее .

[ms-threat-actors-24-1] «Как Microsoft называет субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.

[rte-ransomware-crime-group-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Рейнольдс, Пол (18 мая 2021 г.). « Паук-волшебник: кто они и как действуют?» . Новости РТЭ . Проверено 18 мая 2021 г.

[it-wizard-spider-profile-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м Лалли, Конор (18 мая 2021 г.). «Профиль Wizard Spider: банда, подозреваемая в нападении на HSE, является частью первого в мире киберкартеля» . Ирландские Таймс . Проверено 19 мая 2021 г.

[wired-inside-trickbot-4] Берджесс, Мэтт (1 февраля 2022 г.). «Внутри Trickbot, печально известной российской банды вымогателей» . Проводной . Проверено 15 февраля 2022 г.

[mitre-mapping-to-wizard-spider-5] Jump up to: ^а ^б «Сопоставление с пауком-волшебником» . МИТРА Щит . Корпорация Митра . Архивировано из оригинала 28 января 2021 года . Проверено 18 мая 2021 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )

[analyst1-ransom-mafia-analysis-of-the-worlds-first-ransomware-cartel-6] Jump up to: ^а ^б ^с ^д ДиМаджио, Джон. «Выкупная мафия — анализ первого в мире картеля-вымогателя» . Аналитик1 . Проверено 19 мая 2021 г.

[tr-meet-wizard-spider-7] Jump up to: ^а ^б ^с Берт, Джефф (18 мая 2022 г.). «Знакомьтесь, Wizard Spider, многомиллионная банда, стоящая за вредоносным ПО Conti, Ryuk» . Регистр . Проверено 20 мая 2022 г.

[ii-cyber-experts-hunt-hidden-hacking-in-all-government-departments-as-russian-hackers-target-health-8] Молони, Шонан; Веклер, Адриан (17 мая 2021 г.). «Киберэксперты охотятся за скрытыми хакерами во всех правительственных ведомствах, поскольку российские хакеры нацелены на здравоохранение» . Ирландская независимая газета . Проверено 18 мая 2021 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]