Introduksjon til Dark Partners-hackere
Dark Partners-hackere har blitt knyttet til et nettverk av falske kryptovaluta-lommebøker og handelsapper. Forskeren g0njxa avslørte at Dark Partners er en gruppe som driver med storskala digital eiendomstyveri.
Distribusjon av malware
Hackerne opererer flere nettsteder som distribuerer stealer-programvare forkledd som AI-tjenester, VPN-er og kryptovaluta-programvare, inkludert falske versjoner av:
- TradingView
- MetaTrader 5
- Ledger
- Exodus
- Koinly
- AAVE
- Unusual Whales-apper
En pågående malware-kampanje har levert «PayDay Loader» til Windows-brukere og «Poseidon Stealer» til macOS-brukere via falske AI- og programvarenettsteder. Malware skanner offerets enheter for tidligere installerte lommebøker som:
- Electrum
- Coinomi
- Exodus
- Atomic Wallet
- Wasabi
- Ledger Live
- MetaMask
Hackerne samler også inn vertisinformasjon, legitimasjoner, private nøkler og informasjonskapsler for videresalg.
Trickbot og Conti-hackerne
g0njxa antydet at Dark Partners bruker ervervede kode-signatursertifikater for å bygge Windows-malware. Det tyske føderale kriminalpolitiet (BKA) har identifisert lederen av Trickbot- og Conti-hackergruppene, kjent som Stern, som den 36 år gamle russiske Vitaly Kovalev. Han er etterlyst for å ha dannet en kriminell organisasjon og antas å skjule seg i Den russiske føderasjonen.
I februar 2023 var Kovalev en av syv personer som ble sanksjonert av USA for forbindelser til Trickbot og Conti.
Trickbot har over 100 medlemmer og er ansvarlig for å infisere hundretusener av systemer over hele verden, noe som har ført til hundrevis av millioner dollar i tap. Cisco Talos-eksperter oppdaget malware som sprer seg som legitime AI-verktøyinstallasjoner, inkludert CyberLock og Lucky_Gh0$t ransomware-virusene.
Trusler og krav fra ransomware
CyberLock-operatører skremmer ofre ved å hevde at de har oppnådd full tilgang til konfidensielle forretningsdokumenter, personlige filer og databaser. De krever $50,000 i Monero for dekrypteringsnøkkelen og truer med å publisere dataene hvis betalingen ikke er mottatt innen tre dager. Imidlertid fant eksperter ingen bevis for datalekkasjefunksjoner i ransomware-koden. Lucky_Gh0$t opererer på lignende måte.
Nummer, derimot, manipulerer GUI-komponenter ved å skrive innholdet i vinduer og knapper på nytt med numeriske sekvenser, noe som gjør operativsystemet ubrukelig.
Politiaksjoner og nye tjenester
Politiet i Nederland, med bistand fra amerikanske kolleger, blokkerte AVCheck-tjenesten som ble brukt av cybersyndikater for å teste malware mot kommersielle antivirusløsninger. En ny tjeneste kalt YouTube-Tools har dukket opp på nettet og hevder å kunne finne alle kommentarer gjort av en YouTube-bruker.
Tjenesten ble opprinnelig laget for å studere League of Legends-brukernavn, men har nå utvidet seg.
Eksperter advarer om at verktøyet kan utgjøre en alvorlig trussel mot personvernet.
Britisk respons på cybertrusler
Den britiske forsvarsministeren John Healey har avslørt regjeringens planer om å opprette et cyberkommando som skal forsvare landet mot hackerangrep og støtte militære cyberoperasjoner med en kostnad på £1 milliard ($1,3 milliarder).
Det forventes at Cyber Command vil spille en ledende rolle i elektronisk krigføring, inkludert avlytting av fiendens kommunikasjon. I løpet av de siste to årene har britiske myndigheter stått overfor anslagsvis 90,000 cyberangrep fra utenlandske etterretningsbyråer, hovedsakelig fra Russland og Kina.
