Переход на удаленку привел к росту атак на корпоративные информационные системы.

Мишень для кибератак

Еще в марте этого года мы прогнозировали рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети сотрудников компаний, которые из-за коронавируса перешли на удаленный режим работы. В группе риска оказывались сотрудники финансовых учреждений, телеком-операторов и IT-компаний, а целью кибератак, по нашим прогнозам, должна была стать кража денег или персональных данных. К сожалению, наши прогнозы сбылись.

Выросло число атак с использованием шпионских программ, шифровальщиков, бэкдоров, эксплуатирующих тему COVID. Злоумышленники искали способы проникновения в сеть предприятий, для этого адресно атаковали удаленных сотрудников, заражая их бэкдорами, через которые потом получали доступ в корпоративные сети. Кроме этого, активно эксплуатировалась неверно настроенная инфраструктура перехода на удаленку – неправильно настроенные RPD-сервера со слабыми паролями и другие сервера удаленного доступа, через которые злоумышленники «входили» в компании.

Письма несчастья

Наша система предотвращения сложных киберугроз Threat Detection System (TDS) с 13 февраля по 1 апреля перехватила сотни опасных писем, замаскированных под информационные и коммерческие рассылки о COVID-19. Почти 65% вредоносных рассылок несли на борту программы-шпионы, второе место занимали бэкдоры – 31%. На шифровальщики приходилось около 4%. Топ-3 наиболее активно эксплуатируемых шпионских программ возглавил троян Agent Tesla. 

Фейковые письма были написаны как на русском, так и на английском языках от имени авторитетных международных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также и крупных российских и международных компаний. Рассылки были направлены как в коммерческий, так и в государственный секторы России и СНГ.

Например, 27 и 28 марта CERT-GIB зафиксировал две волны рассылки шпионской программы HawkEye с темой Free face Mask. Письмо было отправлено якобы от менеджера китайской GALAXY ELECTRONIC INDUSTRIAL, а получателями были российские компании, в том числе в сфере энергетики. В письме говорилось, что китайская компания запустила завод по производству защитных масок, и, если нужны маски или есть желание создать совместный бизнес, нужно посмотреть сертификацию товара во вложении. Внутри находился RAR-архив Mask 2020.rar со вредоносным файлом Mask 2020.exe и шпионской программой из семейства HawkEye.

27 марта CERT-GIB зафиксировал две рассылки вируса-шифровальщика по российским нефтегазовым компаниям – в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании «Аптека.ру», содержали презентацию лучших средств профилактики по доступной цене под заголовком «Дарим вакцину от коронавируса!» В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри – обновленной версией шифровальщика Aurora. Загружаемый с ресурса spectrplus.com вредоносный архив при запуске шифровал файлы на инфицированном компьютере. Для их расшифровки злоумышленники требовали оплату в биткойнах. Детали выкупа предлагалось узнать, связавшись с отправителями через сайт в сети TOR. Примечательно, что в этой атаке злоумышленники не подделывали адрес отправителя, вместо этого использовав созвучный почтовый ящик.

В августе команда Group-IB Threat Intelligence представила аналитический отчет по ранее неизвестной хакерской группе RedCurl, специализирующейся на корпоративном шпионаже. Группа, предположительно состоящая из русскоговорящих хакеров, начиная с 2018 года совершила 26 целевых атак исключительно на коммерческие организации. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации. RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии. Цель атакующих – документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. 

Деньги, штрафы, пропуска

Если говорить о других типах киберпреступлений, ощутимо выросло число финансовых мошенничеств, жертвами которых стали клиенты банков. Их суть с годами не меняется, а формат и схемы – телефонный звонок от якобы социальных работников, продажа пропусков или рассылка сообщений о штрафах о нарушении карантина – менялись постоянно. Информационные поводы, которыми пользовались мошенники, чуть ли не опережали повестку СМИ.

В конце марта – начале апреля, когда столичные власти ввели режим самоизоляции и ограничили передвижения по городу, появились очередные мошеннические сервисы: сайты, Telegram-каналы, аккаунты ВКонтакте и Instagram, предлагающие купить справки-пропуска на период карантина по цене от 3000 до 5500 рублей. Всего мы обнаружили 185 мошеннических ресурсов, торгующих цифровыми пропусками: 28 сайтов, 59 групп и аккаунтов в соцсетях и 98 Telegram-каналов. Вместе с ДИТ Москвы и МВД мы вычислили (а полиция задержала) двух администраторов мошеннических сервисов, продававших фальшивые цифровые пропуска. Сейчас им грозит суд.

Еще одной масштабной мошеннической схемой, актуализировавшейся в период самоизоляции, стала фальшивая курьерская доставка товаров, заказанных через интернет. Злоумышленники размещали на популярных сервисах бесплатных объявлений «лоты-приманки», товары по намеренно заниженным ценам, а потом присылали покупателю ссылку на фишинговую страницу курьерского сервиса и просили перевести деньги за товар и доставку. По такой схеме работали десятки преступных групп. И за три месяца карантина их заработки росли как на дрожжах: от 3,5 млн в феврале до 9 млн в апреле. В итоге 250 фишинговых ресурсов были заблокированы.

Несмотря на то, что большинство компаний вернулись к работе в привычном режиме, многие сотрудники по-прежнему остаются на удаленке. А киберпреступники по-прежнему ищут способы заполучить ваши деньги. Так что не теряйте бдительность и укрепляйте системы защиты.

Если для вашей компании актуальна тема защиты данных, присоединяйтесь к курсу Ильи Сачкова и его коллег, посвященному теме информационной безопасности.

Фото: Group-IB.ru