Киберпреступники нередко становятся жертвами собственных коллег по ремеслу. Недавняя атака, зафиксированная экспертами по кибербезопасности, показала, как неизвестная группировка хакеров вытеснила конкурентов с уже скомпрометированных систем. Речь идет о печально известной TeamPCP — банде, ответственной за серию громких взломов в последние месяцы.
Согласно отчету компании SentinelOne, злоумышленники, получившие доступ к зараженным TeamPCP серверам, немедленно удаляли инструменты конкурентов и устанавливали собственные вредоносные программы. Их цель — распространение по облачной инфраструктуре, кража учетных данных и передача добытых данных на контролируемые серверы. Исследователи назвали эту кампанию PCPJack.
Эксперт SentinelOne Алекс Деламотт отмечает, что мотивы атакующих пока неясны. Среди версий — бывшие участники TeamPCP, конкурирующая группировка или третья сторона, копирующая тактику известных хакеров. Интересно, что PCPJack не ограничивается системами, взломанными TeamPCP, а также сканирует интернет в поисках уязвимых облачных платформ, таких как Docker и базы данных MongoDB.
Особенность кампании — ведение статистики успешных «выселений» TeamPCP. Хакеры фиксируют каждое удачное проникновение и передают данные на свои серверы. Основная цель — финансовая выгода: продажа украденных учетных данных, предоставление доступа к взломанным системам или прямая вымогательство у жертв. При этом злоумышленники избегают майнинга криптовалют на зараженных машинах, так как этот метод требует больше времени для получения прибыли.
В некоторых атаках PCPJack использует фишинговые домены, маскируясь под сайты служб поддержки и крадя данные из менеджеров паролей. Это еще раз подтверждает, что киберпреступники постоянно совершенствуют свои методы, чтобы оставаться на шаг впереди защитников.
*Признаны экстремистскими организациями и запрещены на территории РФ.
