Хакеры пошли в атаку с именем Metro и «Магнита» на устах

Источник
Эксперты по кибербезопасности зафиксировали массовую атаку на российский бизнес. Уникальность акции в том, что хакеры маскировались под известные бренды и использовали «умные» устройства. Это первая массовая атака подобного рода.
Неизвестные атаковали более 50 крупных российских компаний, выдавая себя за представителей известных брендов, в том числе розничных сетей, строительных и нефтяных компаний, рассказал РБК представитель «Ростелеком-Solar» (специализируется на вопросах кибербезопасности), отметив, что активность злоумышленников пришлась на февраль 2019 года. Факт атаки РБК подтвердили представители Group-IB и Positive Technologie.

Злоумышленники атакуют с помощью писем с вредоносным содержанием (фишинг), которые приходят по будням в рабочие часы, пояснил РБК Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Solar». Цель хакеров — заражение инфраструктуры шифровальщиком Shade/Troldesh: программа кодирует файлы на устройстве пользователя и требует у него плату за доступ к ним.

В особенностях хакерской атаки нового типа разбирался РБК.

Слишком высокая активность атаки

«Мы видим эту атаку почти на всех наших клиентов — это около 50 крупнейших компаний России из самых разных отраслей. Их сотрудники получают по 10–50 писем в день в зависимости от размера организации и количества электронных ящиков корпоративной почты», — отметил Дрюков. Обычно частота подобных фишинг-рассылок примерно в три-пять раз ниже. Эксперты Group-IB фиксировали до 2 тыс. рассылок в день. «Рассылки массовые, нецелевые, то есть не специализированы под какую-либо конкретную отрасль, тип организаций или получателя», — добавил директор экспертного центра безопаcности Positive Technologies Алексей Новиков.

Какие именно компании получали фишинговые письма и размер нанесенного злоумышленниками ущерба, собеседники РБК не раскрывают.

Хакеры используют нетипичные способы прикрытия

Как отмечает представитель «Ростелеком-Solar», киберпреступники направляли письма с вредоносным ПО, в частности, от имени «Ашана», «Магнита», «Славнефти» и ГК «ПИК». «В большинстве случаев используются именно эти бренды, что характерно для фишинга, не таргетированного на конкретную отрасль. Пытаются сделать атаку как можно более массовой и увеличить охват», — пояснил Владимир Дрюков.

Источник на рынке кибербезопасности отметил, что список скомпрометированных компаний шире. Атаки, по его словам, начались еще в ноябре 2018-го, но их пик пришелся на февраль. «Первым, кем на этот раз прикинулся шифровальщик, стал Газпромбанк , рассылки шли якобы от менеджеров этого банка. Спустя две недели злоумышленники «переоделись» в менеджеров банка «Открытие», в декабре — Бинбанка», — сообщил собеседник РБК. В феврале смена брендов продолжилась — использовались варианты прикрытия писем от ГК «Дикси», Metro Cash & Carry и Philip Morris. «Естественно, все эти компании никакого отношения не имеют к рассылке», — добавил он.

Скомпрометированные этой атакой бренды знают о проблеме. «Действительно, некоторое время назад мы получили большое количество жалоб от наших деловых партнеров на подозрительные электронные письма, которые приходили якобы от нашей компании, — сообщил РБК представитель ГК «Дикси». — Контрагентам и партнерам компании были направлены информационные письма с просьбой внимательно проверять входящую электронную корреспонденцию». По словам источника в «Славнефти», последняя хакерская атака была около двух недель назад.

Сам по себе фишинг не является экзотическим способом атаки, отмечает один из собеседников РБК на рынке кибербезопасности. Но массовую маскировку под бренды популярных розничных сетей специалисты фиксируют впервые. «Кроме того, в письмах очень точно скопирован стиль компаний. Обычно фишинговые письма легко вычислить, так как в них много орфографических и грамматических ошибок. Но в этот раз хакеры устроили качественную атаку», — констатирует он.

«Фишинговые письма используются в среднем в каждой третьей атаке. По статистике, по ссылкам, содержащимся в фишинговых письмах, переходят до 27% получателей, а если письмо приходит якобы от имени реальной компании или человека, то вероятность успеха для взломщиков возрастает до 33% в среднем», — пояснил Алексей Новиков из Positive Technologies.

По данным Group-IB, с середины 2017 года до середины 2018-го в России фиксировалось в среднем 108 фишинговых атак в день, за счет которых удалось похитить 251 млн руб., что на 6% больше, чем за аналогичный период годом ранее.

Первое массовое использование в атаке «умных» устройств

Особенность новой волны атак — использование «умных» устройств, например, роутеров, расположенных в странах Азии, Латинской Америки, Европы, в том числе и в России, отмечают специалисты «Ростелеком-Solar». Раньше для таких целей злоумышленники использовали обычные серверы. ​«Обычно устройства интернета вещей (IoT — internet of things. — РБК) используются для DDoS-атак (отправки множества запросов, с которыми не справится сервер. — РБК). Рассылка фишинговых писем с роутеров — пока экзотика. Как мы видим, письма рассылаются с устройств, учетные записи которых имеют слабый пароль», — отметил Владимир Дрюков.

По его словам, отследить взломанное сетевое устройство, с которого произведена атака, намного сложнее, чем сервер.

Алексей Новиков экзотикой такой случай не считает, хотя и называет случившуюся волну атак показательной. «Атака с использованием взломанных IoT-устройств менее трудозатратна, менее сложна и более безопасна для злоумышленника. Найти и использовать незащищенные устройства проще и выгоднее: если арендуется облачный сервис, он может быть внесен в специальный стоп-лист IP-адресов, с которых идут спамерские рассылки. В случае с IoT таких адресов миллионы, они быстро меняются, и вести какой-либо их реестр исключительно сложно», — говорит специалист. По его словам, фишинг может осуществляться с любого устройства, которое способно делать рассылку почты. А это пользовательские модемы, роутеры, сетевые хранилища, экосистемы «умных» домов.

Консультант по информационной безопасности ГК InfoWatch Ирина Казакова считает, что с развитием «умных» устройств количество хакерских атак с их помощью будет расти. «Использование стандартных настроек позволяет по протоколу SSH получить удаленный доступ к уязвимому устройству и вовлечь его в огромные ботнеты, которые служат для проведения DDoS-атак и массовой рассылки спама посредством соединения захваченных устройств с почтовыми серверами», — отмечает она.

Заместитель руководителя CERT-GIB, центра реагирования на инциденты информационной безопасности Group-IB, Ярослав Каргалев отметил, что использование интернета вещей в преступных целях уже имеет свои последствия — например, на протяжении 2017–2018 годов фиксировались небывалые ранее по мощности DDoS-атаки, которые генерировались такими зараженными «умными» устройствами.

В ноябре 2016 года несколько крупных российских банков, включая Сбербанк , банк «Открытие» и Альфа-Банк, подверглись необычной хакерской атаке. Позже ЦБ официально подтвердил, что эта ​DDoS-атака была совершена с помощью устройств, относящихся к интернету вещей. Это был первый официально признанный случай в России, когда в преступных целях могли использоваться «умный» холодильник, smart-TV или охранная система входной двери.​
Персоны Компании
«Холидей» Николая Скороходова отправлен в бессрочный отпуск
Сибирский ритейлер признан банкротом.
Михаил Фридман рвется обанкротить создателя AnywayAnyday
Альфа-банку не удалось потеснить «БИС консалтинг» в деле о банкротстве Кирилла Подольского.
У Вадима Мошковича «Кошкинский» пойдет как по маслу
Организация и его совладелец признаны банкротами.
Аркадий Ротенберг, Юрий Ковальчук и Николай Шамалов взяли Крым
Как Крым стал прибыльным бизнесом для друзей Путина.
Артем Аветисян никак не продаст Модульбанк
Бизнесмену нужны средства на выкуп допэмиссии «Восточного».
"Красный воробей" отбился от российских пиратов
Число исков от правообладателей зарубежных фильмов выросло.
Греф любит Турцию, Костин - Кипр
Российские банки держат за рубежом 182 миллиарда долларов в виде требований к иностранным резидентам, подсчитал РБК на основе данных ЦБ. Несмотря на закручивание гаек на Кипре, затронувшее российские капиталы, пятая часть этих денег — там.
Борис Листов отсудил у «Кошкинского» молоко за вредность
Россельхозбанк выиграл первый из трех исков к компании на сумму 500 миллионов рублей.
Украинская "дочка" Андрея Костина сделала себе харакири
Ликвидацию банка предпочли предложениям инвестора.
На украинский ВТБ положил глаз Ринат Ахметов
На активы и обязательства банка претендуют три крупных игрока.
Авен прикипел к Альфа-банку
По словам Петра Авена, владельцы банка не ведут и не вели переговоров о его продаже. Ранее о переговорах с ВТБ и UniCredit сообщила Financial Times.
Ордовский-Танаевский Бланко нашел рай на земле
Патриарх ресторанной индустрии анализирует свой 30-летний опыт бизнеса на исторической родине и объясняет, почему Россия не Венесуэла.
Израильтяне подготовят российских кибербезопасников на деньги Игоря Рыбакова
Российский филиал поборется с дефицитом кадров в отрасли защиты информации.
Дмитрий Усанов опустил Альфа-банк в разрез
Долг экс-замглавы ОНЭКСИМа стал проблемным.
ВТБ нашел "варяга" в Сбербанке
Продавать розничные продукты доверили экс-главе Московского банка Сбербанка Олегу Смирнову.
Вслед за зерновым бизнесом Кирилл Подольский потерял и Anywayanyday
В 2015 году Кирилл Подольский продал свои аграрные активы, а в этом – и билетный сервис. Сооснователь платформы признан банкротом.
DDoS-атака обрушила сервисы Росреестра
В работе электронных сервисов Росреестра произошел технический сбой. Служба отключила доступ к онлайн-выдаче выписок о правах собственности на недвижимость из-за DDoS-атаки. Издержки пользователей сервиса возросли в 60 раз.
Звонок из банка: заключенные создали сотни колл-центров, охотящихся за деньгами банковских клиентов
В тюрьмах и колониях работают сотни мошеннических структур, маскирующихся под настоящие колл-центры российских банков.