Introduktion till Dark Partners
Hackarna som kallas Dark Partners har kopplats till ett nätverk av falska kryptovaluta-plånböcker och handelsprogram. Forskaren g0njxa avslöjade att Dark Partners är en grupp som varit involverad i storskalig stöld av digitala tillgångar.
Spridning av skadlig programvara
Hackarna driver flera sidor som distribuerar skadlig programvara under förespeglingen av AI-tjänster, VPN:er och kryptovalutaprogram, inklusive falska versioner av TradingView, MetaTrader 5, Ledger, Exodus, Koinly, AAVE och Unusual Whales appar.
En pågående skadlig programvarukampanj har framgångsrikt levererat ”PayDay Loader” till Windows-användare och ”Poseidon Stealer” till macOS-användare genom att använda falska AI- och mjukvarusidor. Denna kampanj har orsakat en mängd brott som involverar stöld av värdinformation, inloggningsuppgifter, privata nycklar och cookies för vidareförsäljning. Skadlig programvara analyserar offrens enheter efter tidigare installerade plånböcker såsom Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi, Ledger Live, MetaMask och andra.
G0njxa föreslog att Dark Partners använder förvärvade kodsigneringscertifikat för att bygga Windows-skadlig programvara.
Trickbot och Conti
Den tyska federala kriminalpolisen (BKA) har identifierat ledaren för grupperna Trickbot och Conti, känd som Stern, som den 36-åriga ryske Vitaly Kovalev. Han har blivit efterlyst för anklagelser om att ha bildat en kriminell organisation och antas gömma sig i Ryska federationen.
I februari 2023 var Kovalev en av sju personer som sanktionerades av USA på grund av sina kopplingar till Trickbot och Conti, där han benämndes som en högt uppsatt medlem. Enligt BKA har Trickbot över 100 medlemmar och är ansvarig för infektering av hundratusentals system världen över, vilket har orsakat skador för hundratals miljoner dollar.
Spridning av CyberLock och Lucky_Gh0$t
Cisco Talos-experter har upptäckt skadlig programvara som sprids i form av legitima AI-verktygsinstallatörer, inklusive CyberLock och Lucky_Gh0$t ransomware-virus, samt Numero Viper.
CyberLock-operatörerna hotar sina offer genom att påstå sig ha fått fullständig åtkomst till konfidentiella affärsdokument, personliga filer och databaser. De kräver 50 000 dollar i Monero för en dekrypteringsnyckel och lovar att skicka pengarna som humanitärt bistånd till olika länder.
Hackarna hotar att publicera datan om betalning inte görs inom tre dagar; dock har experter inte funnit bevis för funktioner för dataexfiltrering i ransomware-koden. Lucky_Gh0$t fungerar på ett liknande sätt. Numero, å sin sida, manipulerar GUI-komponenter och ändrar innehållet i fönster och knappar till numeriska sekvenser, vilket gör operativsystemet obrukbart.
Åtgärder mot cyberbrott
Polisen i Nederländerna, i samarbete med amerikanska myndigheter, har blockerat AVCheck-tjänsten som användes av cyberkriminella för att testa sin skadliga programvara mot kommersiella antiviruslösningar. Utredare har även kopplat webbplatsens administratörer till kryptotjänster som Cryptor.biz och Crypt.guru. Domänen för den förstnämnda har beslagtagits, medan den senare är offline.
Krypteringstjänster hjälper skadlig programvaruoperatörer att dölja sina aktiviteter och är en del av ett större ekosystem. Undercover-agenter som utger sig för att vara kunder har bidragit till att stänga ner dessa tjänster.
Ny teknik och potentiella hot
En ny tjänst vid namn YouTube-Tools har dykt upp online, som påstår sig kunna hitta alla kommentarer från en YouTube-användare och, med hjälp av AI, skapa en profil som pekar på deras presumtiva bostadsort, språkkunskaper, intressen och politiska åsikter, enligt 404 Media.
Tjänsten skapades ursprungligen för att studera League of Legends-användarnamn, men har nu expanderat genom en modifierad LLM från Mistral. Utvecklaren hävdar att YouTube-Tools är avsedd för brottsbekämpande myndigheter. Trots detta är tjänsten tillgänglig för alla efter registrering och för cirka 20 dollar per månad. Experter varnar för att detta verktyg kan utgöra ett allvarligt hot mot integriteten.
Regeringens cybersäkerhetsplaner
Den brittiske försvarsministern John Healey har nyligen avslöjat regeringens planer på att etablera ett cybersäkerhetskommando som ska ansvara för att skydda landet mot hackerattacker och stödja militära cyberoperationer. Den nya strukturen syftar till att modernisera vägledning och koordinationssystem för armén som använder AI-teknik, till en kostnad av 1 miljard pund (1,3 miljarder dollar).
Cyber Command kommer också att spela en ledande roll i elektronisk krigföring, genom att övervaka fiendens kommunikationer och störa drönare. Under de senaste två åren har brittiska myndigheter uppskattat att de utsatts för cirka 90 000 cyberattacker från utländska underrättelsetjänster, främst från Ryssland och Kina.
