به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امینتی بلکبری (BlackBerry) بهتازگی یک گروه هکری به نام کاستا ریکتو (CostaRicto) شناسایی کردند.
مزدوران هکری کاستا ریکتو مؤسسات مالی سراسر دنیا ازجمله اروپا، آمریکا، آسیا، استرالیا و آفریقا را هدف قرار داده و بیشترین قربانیانشان در آسیای جنوبی خصوصاً هند، بنگلادش و سنگاپور واقعشدهاند. محققان بلکبری احتمال خاستگاه کاستاریکتو را در همین منطقه محتمل دانستهاند.
کاستا ریکتو عموماً در عملیاتهای خود از بدافزارهای ویژه ناشناس، حملات فیشینگ هدفمند و اطلاعات مسروقه حسابهای کاربری بهره میبرد. این گروه در ایمیلهای فیشینگ از تروجان و در پشتیای به نام «Sombra» یا «SombRAT» استفاده میکند.
مهاجمان با بهرهگیری از این تروجان به هاستهای آلوده دسترسی پیداکرده و فایلهای محرمانه آنها را شناسایی و اسناد مهم را سرقت میکنند. دادههای مسروقه معمولاً به سرور فرماندهی و کنترل هکرها که در دارک نت مستقر هستند، ارسال میشوند.
علاوه براین، هاستهای آلوده معمولاً از طریق چندین پروکسی و تونلهای SSH به سرورهای مهاجمان متصل میشوند تا ترافیک مخرب را از دید دیگران مخفی سازند.
تمام نمونه بدافزارهایی که توسط کاستا ریکتو نوشتهشدهاند، به اکتبر 2019 برمیگردند و شواهد شناساییشده در سرورهای کاستا ریکتو نشان میدهند که هکرها از سال 2017 فعال بودهاند.
کارشناسان بلکبری اشتراکاتی نیز میان حملات کاستا ریکتو با کمپینهای گروه هکری APT28 شناسایی کردهاند.
کاستا ریکتو پنجمین گروه از مزدوران هکری است که در سال 2020 شناسایی شدهاند. پیشترکارشناسان امنیتی گروههایی به نام «BellTrox» ،«DeathStalker» ،«Bahamut» شناسایی کرده بودند و محققان Google Threat Analysis Group نسبت به افزایش شمار چنین گروههایی هشدار داده بودند.
