Microsoft приняла меры против киберпреступной группировки Fox Tempest, которая распространяла программы-вымогатели Rhysida и разрабатывала инструменты для таких крупных вредоносов, как Oyster, LummaStealer и Vidar. Недавно техгигант обнародовал посвящённые этому материалы в суде Южного округа Нью-Йорка.
Компания также поделилась подробностями о том, как сотрудники её подразделения по борьбе с цифровыми преступлениями (DCU) взаимодействовали с операторами Fox Tempest, используя подставные лица, идентифицировали инфраструктуру хакеров и смогли пресечь их деятельность. В настоящее время Microsoft сотрудничает с ФБР и Европейским центром по борьбе с киберпреступностью Европола, чтобы установить личности злоумышленников.
Fox Tempest действует как минимум с мая 2025 года и преследует финансовые цели. Как пояснил главный следователь по киберпреступлениям в DCU Морис Мейсон, группировка работает «на начальном этапе цепочки поставок вредоносного ПО, выступая в качестве пособника». Она предоставляет инструменты и услуги, позволяющие другим хакерам совершать свои операции. Речь идёт, в частности, об «услуге подписи ВПО» (MSaaS), которая помогает маскировать его под легитимный софт и тем самым обходить традиционные средства защиты.
Среди стран, наиболее часто подвергавшихся атакам Fox Tempest, были США, Франция и Индия. За ними следовали Китай, Бразилия, Германия, Япония, Великобритания, Италия и Испания. «Это не означает, что эти страны были целью вредоносных кампаний, а лишь то, что на компьютере в одной из этих стран был обнаружен файл, связанный с инфраструктурой Fox Tempest», — отметил Мейсон.
Специалисты DCU перевели вредоносные домены группы на принадлежащую Microsoft инфраструктуру, отключили сотни виртуальных машин, размещённых на VPS-провайдере из Дубая Cloudzy, заблокировали около 1000 учётных записей и приостановили работу хранилища угроз. По заявлению самой корпорации, она «впервые предпринимает публичные действия против мощного, но часто незаметного фактора, способствующего киберпреступности».
Усам Оздемиров
.png)
.png)