Новая хакерская группировка атаковала банки под видом журналистов
Вместо вопросов для интервью финансисты получали вредоносное ПО
В интернете появилась новая хакерская группировка, которая атакует банки и энергетические компании, рассказали РБК специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC «Ростелекома». Она получила название TinyScouts (по сочетанию названия фрагментов в программном коде вируса). Хакеры используют сложную схему атаки и уникальное вредоносное ПО, ранее неизвестное специалистам Solar JSOC.
О новой хакерской группировке знает и руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов. По его словам, первые атаки на банки произошли в апреле, группировку в Group-IB называют oldgremlin, а вирусную программу, с помощью которой действуют злоумышленники, — TinyPosh.
Как происходит атака
На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых предупреждают о начале второй волны пандемии коронавируса. Для получения дополнительной информации адресату предлагают пройти по внешней ссылке, рассказывают в Solar JSOC. Встречаются также варианты фишинговых писем, имеющих четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит «вполне убедительно», однако также содержит вредоносную ссылку.
«Свои письма хакеры oldgremlin рассылают от имени различных юридических лиц, мы фиксировали рассылку от имени СРО «Мир», клиники «НоваДент» и других. Естественно, к этим организациям вредоносные кампании не имеют никакого отношения», — добавляет Миркасымов.
По словам представителя СРО «Мир», о подобных атаках с использованием ее имени компании не известно. «Вместе с тем мы знаем о случаях, когда целями становились МФО. Первые рассылки были зафиксированы весной, последняя, о которой нам известно, — в июле. С подобной же проблемой столкнулись и две другие СРО МФО примерно в тот же период времени, что также указывает на ее массовость, атаку на сектор в целом», — отмечает собеседник РБК.
РБК направил запросы в «НоваДент».
Что такое фишинг
Фишинг — это вид интернет-мошенничества, с помощью которого получают доступ к конфиденциальным данным пользователей — логинам и паролям. Как правило, злоумышленники отправляют электронные сообщения с фишинговыми ссылками внутри. Эти ссылки ведут на сайт, внешне не отличимый от настоящего, либо на страницу с функцией переадресации на другую. После клика на подобную ссылку на компьютер жертвы может загрузиться вредоносное ПО.
По данным Solar JSOC, в среднем примерно в 70% случаев именно фишинг считается первым этапом сложной целенаправленной атаки. Количество заблокированных Group-IB фишинговых ресурсов во втором квартале 2020 года увеличилось на 71% по сравнению с тем же периодом 2019-го, рассказали в компании.
Кликнув по ссылке в письме, жертва запускает загрузку основного компонента вредоносного ПО. «На этом этапе злоумышленники действуют максимально осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников», — объясняют в Solar JSOC.
На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль — «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифровывание.
Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное ПО, защищенное несколькими слоями обфускации (ПО для запутывания кода) и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией.
Сколько именно компаний пострадало в рамках атаки, в Solar JSOC и Group-IB не раскрывают.
Кем притворяются хакеры
Самой примечательной была атака якобы от имени журналиста РБК, вспоминает Рустам Миркасымов
Предупреждение
Рабочий адрес сотрудников редакции РБК — @rbc.ru. Редакция просит внимательно относиться к письмам и сообщениям от лица РБК, полученным с других почтовых аккаунтов.
Используя методы социальной инженерии, хакеры написали поддельное письмо, отправленное якобы с корпоративной почты РБК, которое также содержало логотип компании. В нем (копия есть у РБК) одному из сотрудников калининградского банка злоумышленники представились журналистом издания и предложили получателю пройти интервью в рамках «всероссийского исследования банковского и финансового сектора во время пандемии коронавируса».
«Злоумышленник под именем журналиста назначает интервью и сообщает, что добавил его в Calendly (открытый планировочный сервис. — РБК), на самом же деле для проведения атаки хакеры создали [аналогичный] календарь, в котором и назначали встречу жертве. После предложения об интервью злоумышленники написали повторное письмо жертве: в нем журналист сообщает, что написал вопросы для интервью, выгрузил их в облако и ждет ответов на них. Повторное письмо хакеры направляют, чтобы удостовериться, что получатель на крючке: он заинтересован, прочитал письмо и перешел по ссылке. Для большей убедительности в каждом письме фигурирует имя известного вендора в сфере кибербезопасности, которым якобы проверено письмо. Так oldgremlin окончательно усыпляют внимание атакуемого», — объясняет Миркасымов.
«То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts, как минимум о технической готовности к ряду одновременных атак на крупные организации», — делают вывод в Solar JSOC.
На что могут рассчитывать пострадавшие компании
РБК (и другие компании, которыми притворялись злоумышленники) может заявиться потерпевшим в рамках расследования уголовного дела в соответствии со ст. 42 Уголовно-процессуального кодекса, указав на причинение преступлением вреда деловой репутации, объясняет партнер адвокатского бюро «Забейда и партнеры» Дарья Константинова: «Однако есть нюансы: потерпевшим от преступления лицо может быть признано только в случае, если непосредственно преступлением этот вред был причинен. Опосредованное причинение вреда может являться основанием лишь для подачи гражданского иска. Поэтому при подаче заявления о признании потерпевшим необходимо будет конкретизировать и обосновать, какой конкретно вред был причинен деловой репутации непосредственно преступлением».
По словам представителей Solar JSOC и Group-IB, хакеры атакуют банки и энергетические компании, однако не раскрывают названия организаций. Представители ВТБ и Тинькофф Банка рассказали РБК, что не фиксировали похожих атак. РБК направил запрос в Сбербанк, Альфа-банк, Газпромбанк и банк «Траст».
Рынок киберпреступности, составляющий, по разным оценкам, около $1 трлн, демонстрирует рост, рассказывает ведущий аналитик направления «Информационная безопасность» ИТ-компании КРОК Анастасия Федорова. «Пандемия подстегнула расти не только цифровые технологии, но и цифровую преступность с использованием различных мошеннических схем: таргетированных атак, социальной инженерии, фишинга. Исходя из этого, нет ничего удивительного в появлении нового игрока на растущем рынке — очередной хакерской группировки. Ее почерк можно назвать довольно классическим: попытка входа через фишинговые письма. Самым слабым звеном в безопасности организаций остается пользователь. В большинстве организаций даже с налаженными процессами по обучению в области безопасности около 80% пользователей открывают письма и переходят по зараженным ссылкам», — говорит эксперт.
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
