#LID#Эксперты по кибербезопасности зафиксировали массовую атаку на российский бизнес. Уникальность акции в том, что хакеры маскировались под известные бренды и использовали «умные» устройства. Это первая массовая атака подобного рода
Неизвестные атаковали более 50 крупных российских компаний, выдавая себя за представителей известных брендов, в том числе розничных сетей, строительных и нефтяных компаний, рассказал РБК представитель «Ростелеком-Solar» (специализируется на вопросах кибербезопасности), отметив, что активность злоумышленников пришлась на февраль 2019 года. Факт атаки РБК подтвердили представители Group-IB и Positive Technologies.
Злоумышленники атакуют с помощью писем с вредоносным содержанием (фишинг), которые приходят по будням в рабочие часы, пояснил РБК Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Solar». Цель хакеров — заражение инфраструктуры шифровальщиком Shade/Troldesh: программа кодирует файлы на устройстве пользователя и требует у него плату за доступ к ним.
«Мы видим эту атаку почти на всех наших клиентов — это около 50 крупнейших компаний России из самых разных отраслей. Их сотрудники получают по 10–50 писем в день в зависимости от размера организации и количества электронных ящиков корпоративной почты», — отметил Дрюков. Обычно частота подобных фишинг-рассылок примерно в три-пять раз ниже. Эксперты Group-IB фиксировали до 2 тыс. рассылок в день. «Рассылки массовые, нецелевые, то есть не специализированы под какую-либо конкретную отрасль, тип организаций или получателя», — добавил директор экспертного центра безопаcности Positive Technologies Алексей Новиков.
Какие именно компании получали фишинговые письма и размер нанесенного злоумышленниками ущерба, собеседники РБК не раскрывают.
Как отмечает представитель «Ростелеком-Solar», киберпреступники направляли письма с вредоносным ПО, в частности, от имени «Ашана», «Магнита», «Славнефти» и ГК «ПИК». «В большинстве случаев используются именно эти бренды, что характерно для фишинга, не таргетированного на конкретную отрасль. Пытаются сделать атаку как можно более массовой и увеличить охват», — пояснил Владимир Дрюков.
Источник на рынке кибербезопасности отметил, что список скомпрометированных компаний шире. Атаки, по его словам, начались еще в ноябре 2018-го, но их пик пришелся на февраль. «Первым, кем на этот раз прикинулся шифровальщик, стал Газпромбанк, рассылки шли якобы от менеджеров этого банка. Спустя две недели злоумышленники «переоделись» в менеджеров банка «Открытие», в декабре — Бинбанка», — сообщил собеседник РБК. В феврале смена брендов продолжилась — использовались варианты прикрытия писем от ГК «Дикси», Metro Cash & Carry и Philip Morris. «Естественно, все эти компании никакого отношения не имеют к рассылке», — добавил он.
Скомпрометированные этой атакой бренды знают о проблеме. «Действительно, некоторое время назад мы получили большое количество жалоб от наших деловых партнеров на подозрительные электронные письма, которые приходили якобы от нашей компании, — сообщил представитель ГК «Дикси». — Контрагентам и партнерам компании были направлены информационные письма с просьбой внимательно проверять входящую электронную корреспонденцию». По словам источника в «Славнефти», последняя хакерская атака была около двух недель назад.
Сам по себе фишинг не является экзотическим способом атаки, отмечает один из собеседников на рынке кибербезопасности. Но массовую маскировку под бренды популярных розничных сетей специалисты фиксируют впервые. «Кроме того, в письмах очень точно скопирован стиль компаний. Обычно фишинговые письма легко вычислить, так как в них много орфографических и грамматических ошибок. Но в этот раз хакеры устроили качественную атаку», — констатирует он.
«Фишинговые письма используются в среднем в каждой третьей атаке. По статистике, по ссылкам, содержащимся в фишинговых письмах, переходят до 27% получателей, а если письмо приходит якобы от имени реальной компании или человека, то вероятность успеха для взломщиков возрастает до 33% в среднем», — пояснил Алексей Новиков из Positive Technologies.
По данным Group-IB, с середины 2017 года до середины 2018-го в России фиксировалось в среднем 108 фишинговых атак в день, за счет которых удалось похитить 251 млн руб., что на 6% больше, чем за аналогичный период годом ранее.
Самые интересные новости читайте в наших группах в Facebook и VKontakte, а также на канале Яндекс.Дзен.
И подписывайтесь на рассылку самых важных новостей.