Хакеры из иностранной группировки предпринимали попытки атаковать ？Росгеологию？. Об этом ？Ленте.ру？ сообщили в компании Group-IB, чьи разработки защищают инфраструктуру крупной госкомпании от внешних угроз. Инцидент произошел еще в марте 2021 года.

       Фото: ТАСС ТАСС

       Специалисты Group-IB рассказали, что ？Росгеология？ стала целью киберпреступной группировки весной. В марте, на фоне распространившихся по всему миру атак, эксплуатирующих уязвимость в почтовых серверах Microsoft Exchange Server, аналитики Group-IB зафиксировали подозрительную активность внутри периметра безопасности российской компании.

       Неизвестные взломщики проникли на почтовый сервер ？Росгеологии？ и попытались запустить вредоносную программу. Эти действия были замечены аналитиками по информационной безопасности, после чего госкомпания локализовала и устранила угрозу.

       ？Появление новых кибергуроз и широкое распространение вредоносного программного обеспечения ставят перед нами новые задачи в области кибербезопасности, — прокомментировал инцидент директор департамента информационной безопасности "Росгеологии" Станислав Игнатов. — Стабильная и беспрерывная работа холдинга зависит от надежности в том числе цифровых рубежей？.

       В Group-IB отмечают, что похожая тактика использовалась весной сразу несколькими иностранными хакерскими сообществами. Сначала это была APT-группа Hafnium, затем ее примеру последовали LuckyMouse, Tick и IronTiger. Эксперты по информационной безопасности считают, что одна из этих группировок может быть причастна и к атаке на ？Росгеологию？.

       Названа единственная цель ？русских хакеров？

       ？Борьба с современными целевыми атаками требует комплексного подхода, включающего анализ сетевого трафика, поведения злоумышленников и вредоносного ПО, защиту электронной почты, автоматизацию процессов реагирования и проактивного поиска угроз？, — заключил руководитель департамента сетевой безопасности Group-IB Никита Кислицин.

       Тем временем ？русский хакер？, сотрудничавший с известной группировкой REvil подтвердил ？Ленте.ру？, что киберпреступники вернулись к активной деятельности после двухмесячного перерыва. Главной причиной их ухода в тень он назвал политические мотивы. Эта информация опровергает заявления самих членов REvil, которые объяснили кратковременный простой мерами предосторожности после пропажи одного из членов сообщества.