Новая хакерская группировка атаковала банки под видом журналистов
Вместо вопросов для интервью финансисты получали вредоносное ПО
В интернете появилась новая хакерская группировка, которая атакует банки и энергетические компании, рассказали РБК специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC «Ростелекома». Она получила название TinyScouts (по сочетанию названия фрагментов в программном коде вируса). Хакеры используют сложную схему атаки и уникальное вредоносное ПО, ранее неизвестное специалистам Solar JSOC.
О новой хакерской группировке знает и руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов. По его словам, первые атаки на банки произошли в апреле, группировку в Group-IB называют oldgremlin, а вирусную программу, с помощью которой действуют злоумышленники, — TinyPosh.
Как происходит атака
На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых предупреждают о начале второй волны пандемии коронавируса. Для получения дополнительной информации адресату предлагают пройти по внешней ссылке, рассказывают в Solar JSOC. Встречаются также варианты фишинговых писем, имеющих четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит «вполне убедительно», однако также содержит вредоносную ссылку.
«Свои письма хакеры oldgremlin рассылают от имени различных юридических лиц, мы фиксировали рассылку от имени СРО «Мир», клиники «НоваДент» и других. Естественно, к этим организациям вредоносные кампании не имеют никакого отношения», — добавляет Миркасымов.
По словам представителя СРО «Мир», о подобных атаках с использованием ее имени компании не известно. «Вместе с тем мы знаем о случаях, когда целями становились МФО. Первые рассылки были зафиксированы весной, последняя, о которой нам известно, — в июле. С подобной же проблемой столкнулись и две другие СРО МФО примерно в тот же период времени, что также указывает на ее массовость, атаку на сектор в целом», — отмечает собеседник РБК.
РБК направил запросы в «НоваДент».
Что такое фишинг
Фишинг — это вид интернет-мошенничества, с помощью которого получают доступ к конфиденциальным данным пользователей — логинам и паролям. Как правило, злоумышленники отправляют электронные сообщения с фишинговыми ссылками внутри. Эти ссылки ведут на сайт, внешне не отличимый от настоящего, либо на страницу с функцией переадресации на другую. После клика на подобную ссылку на компьютер жертвы может загрузиться вредоносное ПО.
По данным Solar JSOC, в среднем примерно в 70% случаев именно фишинг считается первым этапом сложной целенаправленной атаки. Количество заблокированных Group-IB фишинговых ресурсов во втором квартале 2020 года увеличилось на 71% по сравнению с тем же периодом 2019-го, рассказали в компании.
Кликнув по ссылке в письме, жертва запускает загрузку основного компонента вредоносного ПО. «На этом этапе злоумышленники действуют максимально осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников», — объясняют в Solar JSOC.
На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль — «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифровывание.
Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное ПО, защищенное несколькими слоями обфускации (ПО для запутывания кода) и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией.
Сколько именно компаний пострадало в рамках атаки, в Solar JSOC и Group-IB не раскрывают.
Кем притворяются хакеры
Самой примечательной была атака якобы от имени журналиста РБК, вспоминает Рустам Миркасымов
Предупреждение
Рабочий адрес сотрудников редакции РБК — @rbc.ru. Редакция просит внимательно относиться к письмам и сообщениям от лица РБК, полученным с других почтовых аккаунтов.
Используя методы социальной инженерии, хакеры написали поддельное письмо, отправленное якобы с корпоративной почты РБК, которое также содержало логотип компании. В нем (копия есть у РБК) одному из сотрудников калининградского банка злоумышленники представились журналистом издания и предложили получателю пройти интервью в рамках «всероссийского исследования банковского и финансового сектора во время пандемии коронавируса».
«Злоумышленник под именем журналиста назначает интервью и сообщает, что добавил его в Calendly (открытый планировочный сервис. — РБК), на самом же деле для проведения атаки хакеры создали [аналогичный] календарь, в котором и назначали встречу жертве. После предложения об интервью злоумышленники написали повторное письмо жертве: в нем журналист сообщает, что написал вопросы для интервью, выгрузил их в облако и ждет ответов на них. Повторное письмо хакеры направляют, чтобы удостовериться, что получатель на крючке: он заинтересован, прочитал письмо и перешел по ссылке. Для большей убедительности в каждом письме фигурирует имя известного вендора в сфере кибербезопасности, которым якобы проверено письмо. Так oldgremlin окончательно усыпляют внимание атакуемого», — объясняет Миркасымов.
«То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts, как минимум о технической готовности к ряду одновременных атак на крупные организации», — делают вывод в Solar JSOC.
На что могут рассчитывать пострадавшие компании
РБК (и другие компании, которыми притворялись злоумышленники) может заявиться потерпевшим в рамках расследования уголовного дела в соответствии со ст. 42 Уголовно-процессуального кодекса, указав на причинение преступлением вреда деловой репутации, объясняет партнер адвокатского бюро «Забейда и партнеры» Дарья Константинова: «Однако есть нюансы: потерпевшим от преступления лицо может быть признано только в случае, если непосредственно преступлением этот вред был причинен. Опосредованное причинение вреда может являться основанием лишь для подачи гражданского иска. Поэтому при подаче заявления о признании потерпевшим необходимо будет конкретизировать и обосновать, какой конкретно вред был причинен деловой репутации непосредственно преступлением».
По словам представителей Solar JSOC и Group-IB, хакеры атакуют банки и энергетические компании, однако не раскрывают названия организаций. Представители ВТБ и Тинькофф Банка рассказали РБК, что не фиксировали похожих атак. РБК направил запрос в Сбербанк, Альфа-банк, Газпромбанк и банк «Траст».
Рынок киберпреступности, составляющий, по разным оценкам, около $1 трлн, демонстрирует рост, рассказывает ведущий аналитик направления «Информационная безопасность» ИТ-компании КРОК Анастасия Федорова. «Пандемия подстегнула расти не только цифровые технологии, но и цифровую преступность с использованием различных мошеннических схем: таргетированных атак, социальной инженерии, фишинга. Исходя из этого, нет ничего удивительного в появлении нового игрока на растущем рынке — очередной хакерской группировки. Ее почерк можно назвать довольно классическим: попытка входа через фишинговые письма. Самым слабым звеном в безопасности организаций остается пользователь. В большинстве организаций даже с налаженными процессами по обучению в области безопасности около 80% пользователей открывают письма и переходят по зараженным ссылкам», — говорит эксперт.
Новый проект о вине и культуре потребления
