Отдел анализа угроз Google сообщил о новой группировке хакеров под названием Triplestrength, которая начала свою деятельность в 2020 году. Группа состоит из нескольких человек, но их атаки очень разнообразны и масштабны.
Хакеры заражают компьютеры жертв вредоносными программами и одновременно взламывают облачные аккаунты для майнинга криптовалюты. Они также активно общаются на хакерских форумах, предлагая доступ к взломанным серверам.
Triplestrength атакует сервера таких крупных облачных платформ, как Google Cloud, Amazon Web Services, Microsoft Azure и другие. Они используют вредоносную программу Raccoon для кражи информации с зараженных компьютеров.
Группировка отличается от других преступных групп тем, что не крадет данные, а просто шифрует файлы и требует выкуп за их восстановление. Они используют различные программы-шифровальщики, такие как Phobos, LokiLocker и RCRU64.
Хакеры не используют сложные методы для проникновения в системы жертв, а просто перебирают пароли для доступа к серверам удаленного рабочего стола. Они также отключают антивирусное ПО и используют общедоступные инструменты для манипуляций в сети организации.
Благодаря Telegram аналитики Google установили связь между вымогательством и криптомайнингом группировки Triplestrength. Хакеры начали использовать облачные ресурсы для добычи криптовалюты около 2022 года, применяя приложение unMiner и майнинговый пул unMineable.
Несмотря на маленький размер группы, их атаки приносят значительные убытки организациям. Google обнаружили множество адресов криптовалюты TRX, связанных с деятельностью Triplestrength. Их жертвами становятся компании разных отраслей и регионов, что свидетельствует о высокой организации и эффективности группировки.
