Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Глава запорожской ВГА заявил о желании провести референдум 11 сентября Политика, 02:27
В МЧС ДНР сообщили об остановке утечки аммиака на пивоваренном заводе Политика, 02:20
Для осужденного на 15 лет Шестуна прокуратура запросила еще 7 месяцев Общество, 02:15
На останкинской телебашне отключили медиафасад на время модернизации Общество, 01:30
Ким Чен Ын объявил о победе над коронавирусом Политика, 01:17
Байден ушел в отпуск Политика, 00:43
В МЧС ДНР сообщили о погибшем при обстреле Донецкого пивзавода Общество, 00:37
В Госдепе заявили об отсутствии ограничений на выдачу виз россиянам Политика, 00:26
Новости, которые вас точно касаются
Самое актуальное о ценах, штрафах и кредитах — в одном письме каждый будний день.
Подписаться за 99 ₽ в месяц
Медведев проиграл 33-й ракетке мира в первом матче турнира серии Masters Спорт, 00:00
Европейцы нарастили закупки российской нефти после введения эмбарго Экономика, 00:00
Ученые обнаружили в России новый штамм коронавируса «русский дельтакрон» Общество, 00:00
Французский депутат призвал отменить санкции против России Политика, 10 авг, 23:59
«Реал» в рекордный пятый раз завоевал Суперкубок УЕФА Спорт, 10 авг, 23:52
Дуров заявил о застрявшей из-за Apple революции для Telegram Технологии и медиа, 10 авг, 23:41
Технологии и медиа ,  
0 

Новая хакерская группировка атаковала банки под видом журналистов

Вместо вопросов для интервью финансисты получали вредоносное ПО
Хакеры из группировки TinyScouts отправляют письма в банки с предупреждением о второй волне COVID-19. Сотрудникам финучреждений также предлагается дать интервью — злоумышленники маскируются под журналистов, в том числе из РБК
Фото: Рамиль Ситдиков / РИА Новости
Фото: Рамиль Ситдиков / РИА Новости

В интернете появилась новая хакерская группировка, которая атакует банки и энергетические компании, рассказали РБК специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC «Ростелекома». Она получила название TinyScouts (по сочетанию названия фрагментов в программном коде вируса). Хакеры используют сложную схему атаки и уникальное вредоносное ПО, ранее неизвестное специалистам Solar JSOC.

О новой хакерской группировке знает и руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов. По его словам, первые атаки на банки произошли в апреле, группировку в Group-IB называют oldgremlin, а вирусную программу, с помощью которой действуют злоумышленники, — TinyPosh.

Reuters сообщил о краже «русскими хакерами» документов США и Британии
Политика
Лиам Фокс

Как происходит атака

На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых предупреждают о начале второй волны пандемии коронавируса. Для получения дополнительной информации адресату предлагают пройти по внешней ссылке, рассказывают в Solar JSOC. Встречаются также варианты фишинговых писем, имеющих четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит «вполне убедительно», однако также содержит вредоносную ссылку.

«Свои письма хакеры oldgremlin рассылают от имени различных юридических лиц, мы фиксировали рассылку от имени СРО «Мир», клиники «НоваДент» и других. Естественно, к этим организациям вредоносные кампании не имеют никакого отношения», — добавляет Миркасымов.

По словам представителя СРО «Мир», о подобных атаках с использованием ее имени компании не известно. «Вместе с тем мы знаем о случаях, когда целями становились МФО. Первые рассылки были зафиксированы весной, последняя, о которой нам известно, — в июле. С подобной же проблемой столкнулись и две другие СРО МФО примерно в тот же период времени, что также указывает на ее массовость, атаку на сектор в целом», — отмечает собеседник РБК.

Pro
Фото: Paula Bronstein / Getty Images Как отдохнуть без чувства вины: 5 главных принципов
Pro
Фото: Chris Hondros / Getty Images Как Пакистан оказался на грани дефолта и какие страны будут следующими
Pro
Фото: Sean Gallup / Getty Images Кто управляет криптовалютой и при чем здесь DAO
Pro
Фото: Chung Sung-Jun / Getty Images Можно ли теперь резидентам РФ переводить валюту за рубеж
Pro
Автодилерам придется сокращать персонал. Кто первый в зоне риска
Pro
Какие налоги становятся сюрпризом для участника сделки по продаже бизнеса
Pro
Самые важные налоговые поправки, которые появятся уже осенью 2022 года
Pro
«Нас просто отменили»: как на Западе кэнселят российские компании

РБК направил запросы в «НоваДент».

Что такое фишинг

Фишинг — это вид интернет-мошенничества, с помощью которого получают доступ к конфиденциальным данным пользователей — логинам и паролям. Как правило, злоумышленники отправляют электронные сообщения с фишинговыми ссылками внутри. Эти ссылки ведут на сайт, внешне не отличимый от настоящего, либо на страницу с функцией переадресации на другую. После клика на подобную ссылку на компьютер жертвы может загрузиться вредоносное ПО.

По данным Solar JSOC, в среднем примерно в 70% случаев именно фишинг считается первым этапом сложной целенаправленной атаки. Количество заблокированных Group-IB фишинговых ресурсов во втором квартале 2020 года увеличилось на 71% по сравнению с тем же периодом 2019-го, рассказали в компании.

Кликнув по ссылке в письме, жертва запускает загрузку основного компонента вредоносного ПО. «На этом этапе злоумышленники действуют максимально осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников», — объясняют в Solar JSOC.

На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль — «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифровывание.

Взломать систему: резонансные хакерские атаки последних лет
Фотогалерея 

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное ПО, защищенное несколькими слоями обфускации (ПО для запутывания кода) и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией.

Сколько именно компаний пострадало в рамках атаки, в Solar JSOC и Group-IB не раскрывают.

Кем притворяются хакеры

Самой примечательной была атака якобы от имени журналиста РБК, вспоминает Рустам Миркасымов

Предупреждение

Рабочий адрес сотрудников редакции РБК — @rbc.ru. Редакция просит внимательно относиться к письмам и сообщениям от лица РБК, полученным с других почтовых аккаунтов.

Используя методы социальной инженерии, хакеры написали поддельное письмо, отправленное якобы с корпоративной почты РБК, которое также содержало логотип компании. В нем (копия есть у РБК) одному из сотрудников калининградского банка злоумышленники представились журналистом издания и предложили получателю пройти интервью в рамках «всероссийского исследования банковского и финансового сектора во время пандемии коронавируса».

«Злоумышленник под именем журналиста назначает интервью и сообщает, что добавил его в Calendly (открытый планировочный сервис. — РБК), на самом же деле для проведения атаки хакеры создали [аналогичный] календарь, в котором и назначали встречу жертве. После предложения об интервью злоумышленники написали повторное письмо жертве: в нем журналист сообщает, что написал вопросы для интервью, выгрузил их в облако и ждет ответов на них. Повторное письмо хакеры направляют, чтобы удостовериться, что получатель на крючке: он заинтересован, прочитал письмо и перешел по ссылке. Для большей убедительности в каждом письме фигурирует имя известного вендора в сфере кибербезопасности, которым якобы проверено письмо. Так oldgremlin окончательно усыпляют внимание атакуемого», — объясняет Миркасымов.

«То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts, как минимум о технической готовности к ряду одновременных атак на крупные организации», — делают вывод в Solar JSOC.

На что могут рассчитывать пострадавшие компании

РБК (и другие компании, которыми притворялись злоумышленники) может заявиться потерпевшим в рамках расследования уголовного дела в соответствии со ст. 42 Уголовно-процессуального кодекса, указав на причинение преступлением вреда деловой репутации, объясняет партнер адвокатского бюро «Забейда и партнеры» Дарья Константинова: «Однако есть нюансы: потерпевшим от преступления лицо может быть признано только в случае, если непосредственно преступлением этот вред был причинен. Опосредованное причинение вреда может являться основанием лишь для подачи гражданского иска. Поэтому при подаче заявления о признании потерпевшим необходимо будет конкретизировать и обосновать, какой конкретно вред был причинен деловой репутации непосредственно преступлением».

По словам представителей Solar JSOC и Group-IB, хакеры атакуют банки и энергетические компании, однако не раскрывают названия организаций. Представители ВТБ и Тинькофф Банка рассказали РБК, что не фиксировали похожих атак. РБК направил запрос в Сбербанк, Альфа-банк, Газпромбанк и банк «Траст».

Хакеры сообщили СМИ детали взлома аккаунтов в Twitter
Технологии и медиа
Фото:Joe Raedle / Getty Images

Рынок киберпреступности, составляющий, по разным оценкам, около $1 трлн, демонстрирует рост, рассказывает ведущий аналитик направления «Информационная безопасность» ИТ-компании КРОК Анастасия Федорова. «Пандемия подстегнула расти не только цифровые технологии, но и цифровую преступность с использованием различных мошеннических схем: таргетированных атак, социальной инженерии, фишинга. Исходя из этого, нет ничего удивительного в появлении нового игрока на растущем рынке — очередной хакерской группировки. Ее почерк можно назвать довольно классическим: попытка входа через фишинговые письма. Самым слабым звеном в безопасности организаций остается пользователь. В большинстве организаций даже с налаженными процессами по обучению в области безопасности около 80% пользователей открывают письма и переходят по зараженным ссылкам», — говорит эксперт.

Авторы
Теги
Магазин исследований Аналитика по теме "Интернет"