アナリストはロシアで新たな隠れマイニングの波があると報告しました。

ハッカーグループ Librarian Ghouls、またの名を Rare Werewolf、は数百台のロシアのデバイスをハッキングし、暗号通貨の隠れたマイニングを行いました。これについて「カスペルスキーラボ」の専門家が報告しました。

感染アルゴリズム

悪意のある攻撃者はフィッシングメールを通じてシステムにアクセスしました。それらは実際の組織からのメッセージを装っており、公式な書類や支払い指示書のように見えます。

コンピュータがマルウェアに感染した後、ハッカーはリモート接続を設定し、Windows Defenderを含む保護システムを無効にします。彼らはWindows Defenderなどのセキュリティシステムを無効にします。次に、彼らはデバイスを午前1時に自動的にオンにし、午前5時にオフにするように設定します。カスペルスキーの研究所の推定によれば、これにより攻撃者はユーザーから行動を隠します。

この期間中、彼らはアカウント情報も盗みます。マイナーを起動する前に、攻撃者はシステムに関する情報を収集します：RAMの容量、CPUのコア数、そしてグラフィックカードのデータ。これにより、彼らは暗号通貨を採掘するためにプログラムを最適に設定できます。マイナーが動作している間、ハッカーはプールと通信を維持し、毎分リクエストを送信します。

攻撃が始まったのはいつか

キャンペーンは2024年12月に始まり、現在も続いています。主に産業企業と技術系大学が影響を受け、数百人のロシアのユーザーが被害を受けました。ベラルーシとカザフスタンでも個別のケースが記録されています。

グループの起源は不明です。アナリストは、フィッシングメールがロシア語で作成されており、ロシア語の名前が付けられたアーカイブやおとり文書を含んでいることに注目しました。これは、キャンペーンのターゲットが恐らくロシア語を話すユーザーまたはロシアの住民であることを示しています。

専門家は、リブラリアン・グールがいわゆるハッカー活動家である可能性があると考えています。このグループは、独自の悪意のあるコードを開発するのではなく、合法的なサードパーティのソフトウェアを使用しています。これは、このような団体の特徴です。別の会社であるBI.ZONEによると、レア・ウルフの集団は少なくとも2019年から活動しています。

リマインダーとして、2024年12月に「カスペルスキーラボ」のアナリストがYouTubeでの新しいスキャムについて語った。

5月に暗号産業のハッカーによる損害は$244百万に達した