В новом отчете компании Halcyon, которая занимается борьбой с вирусами-вымогателями, говорится о том, что провайдер виртуальных частных серверов Cloudzy используется для размещения вредоносного программного обеспечения.
Согласно отчету, опубликованному на этой неделе консультантом по безопасности и поставщиком программного обеспечения для борьбы с вирусами-вымогателями Halcyon, провайдер облачного хостинга, который кажется безобидным, может быть прикрытием для иранской компании, предоставляющей услуги по управлению злоумышленникам-вымогателям.
В отчете говорится, что Cloudzy – это, в первую очередь, провайдер виртуальных частных серверов, который принимает криптовалюту в качестве оплаты за свои услуги. Halcyon заявила, что обнаружила ряд злоумышленников, которые пользовались услугами компании в прошлом, в том числе группы APT, связанные с правительствами Китая, Ирана, Северной Кореи и России, среди прочих. По словам Халсиона, Cloudzy также предоставляла услуги известному поставщику шпионского программного обеспечения и более чем одному преступному синдикату. Компания Cloudzy не ответила на запросы о комментариях.
По словам Halcyon, Cloudzy не требует от своих клиентов никаких реальных подтверждений личности, только рабочий адрес электронной почты. Компания якобы обеспечивала соблюдение запрета на использование своих услуг для любой незаконной деятельности, но только тогда, когда эта деятельность касалась IPv4-адресов, зарегистрированных самой Cloudzy, а не тогда, когда она происходила на инфраструктуре, арендованной у других провайдеров.
Расследование Halcyon, которое связало незаконную деятельность с Cloudzy через эти сетевые блоки (блоки IP-адресов), также проверило сотрудников компании. В отчете сделан вывод, что присутствие Cloudzy в США является по крайней мере частично фиктивным и существует преимущественно на бумаге. На самом деле, говорится в отчете, Cloudzy в значительной степени управляется сотрудниками другой компании под названием abrNOC, которая базируется в Тегеране.
Новая модель атаки вирусов-вымогателей
В отчете Halcyon отмечается, что "от 40% до 60%" всех серверов, размещенных компанией, поддерживают возможную вредоносную активность. Cloudzy, по мнению Halcyon, является частью новой модели атак злоумышленников-вымогателей, которая обеспечивает аппарат управления (C2P) для вредоносной деятельности через внешне легальный источник. По словам директора по маркетингу Halcyon Райана Голдена, это другой подход к проблеме. "Большинство операторов не тратят время на то, чтобы настроить свои операции так, чтобы они выглядели как легальный бизнес, поскольку они являются более нишевыми и хотят быстрее выйти на рынок. Мы используем это различие, чтобы отличить последний тип провайдеров (обычно известный как "пуленепробиваемый хостинг"), который, как правило, скрывается за мантией "абсолютистов свободы слова", от того, что мы называем C2P", – сказал он.
Получается злоумышленникам, которые выглядят как приличная американская компания, гораздо легче завоевывать доверие законных пользователей и скрывать деятельность хакеров. Трафик, связанный с их сетевыми блоками, смешивается с потенциально легальными приложениями, поэтому злоумышленникам легче скрываться в открытом доступе.
Halcyon рекомендует пользователям проверить свои системы на наличие подключений к серверам удаленных рабочих столов, связанных с Cloudzy, которые подробно описаны в отчете.
Рекомендуем прочитать: Почему обучение по кибербезопасности так важно?
