Группа компаний "Солар" рассказала, что эксперты центра исследования киберугроз Solar обнаружили новую хакерскую группировку Proxy Trickster. Она занимается майнингом криптовалют и проксиджекингом - перехватом контроля над серверами для их преобразования и продажи. Впервые группировка попала в поле зрения экспертов в марте 2025 г. во время расследования ИБ-инцедента в одной из российских компаний. Согласно сообщению, главными "статьями дохода" злоумышленников является майнинг криптовалют и проксиджекинг - вид кибератак, направленных на перехват контроля над легитимными серверами с помощью уязвимостей в публично доступных сервисах. Хакеры преобразовывали их в прокси-серверы, а затем продавали в даркнете с возможностью скрывать онлайн-активность и IP-адреса.

"За год они атаковали почти 900 серверов в 58 странах мира, включая Россию, и все еще имеют к ним доступы, что потенциально позволяет проводить более разрушительные атаки. Первые найденные следы атак Proxy Trickster датированы маем 2024 г., с тех пор хакеры не прекращали деятельность. Более чем за год их деятельности всего было заражено не менее 874 устройств в 58 странах. Больше всего атакованных группировкой серверов эксперты Solar 4RAYS обнаружили в CША (16% от общего числа зараженных серверов), Германии (6%), России (4%), Украине (4%), Франции (4%) других странах. Можно сделать вывод, что география целей не волнует хакеров - они атакуют все доступные им серверы с целью заработка", - говорится в сообщении компании.

Эксперты "Солар" отметили, что хакеры используют инструменты и методики профессионалов, несмотря на то, что, скорее всего, являются любителями. Среди них они выделили подмену системных утилит на кастомные скрипты, маскирующие вредоносные процессы от системных администраторов, и использование многоуровневых автоматизаций атак. Хакеры сохраняли доступы к атакованным серверам. Это давало им возможность проводить более сложные атаки и стать угрозой для сотен компаний по всему миру.

Однако, по словам руководителя группы расследования инцидентов центра исследования Solar 4RAYS Ивана Сюхина, подтверждений совершенных более сложных атак обнаружено не было, но это не значит, что этого не случится в будущем. Он рассказал, что хакеры могу продать доступ к взломанным серверам другим группировкам, а они используют их для нанесения серьезных ударов.

"Посчитать количество группировок, похожих на Proxy Trickster, сложно. Например, по общим оценкам различных ИБ-компаний, в России в целом насчитывается от 30 до 100 различных объединений злоумышленников. В мире же их еще больше, а точное количество никто не может установить. Если говорить про группы, основной целью которых является монетизация мощностей контролируемых ими серверов (через майнинг или проксиджекинг), то их число может составлять десятки, а может быть и сотни по всему миру", - заключил он.

https://www.comnews.ru/content/240123/2025-07-11/2025-w28/1008/pochta-rossii-vzyalas-za-kiberbezopasnost