18.02.2020

«Ростелеком-Солар» зафиксировал всплеск необычных кибератак на банки и энергетику

к списку новостей

Эксперты центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» зафиксировали всплеск достаточно редкого типа атак на банки и энергетическую отрасль. Цепочка вредоносной активности включает целых четыре этапа, что позволяет хакерам получить контроль в инфраструктуре организации, оставаясь незаметными для средств защиты — антивирусов и даже песочниц.

Многокомпонентная атака начинается фишинговой рассылкой офисных документов в адрес сотрудников банков и энергетических компаний якобы от имени других организаций — представителей отрасли. При открытии вложения активируется исполняемый файл, который обращается к популярному хостингу открытого кода pastebin.com. Оттуда запускается участок кода, который в свою очередь отправляет команду о скачивании на атакуемый компьютер картинки с сервиса по обмену изображениями imgur.com. Дело осложняет использование стеганографии: в загруженное изображение встроено вредоносное ПО, позволяющее хакерам собрать и отправить на свои серверы полную информацию о жертве.

Если полученные данные оказываются интересными для злоумышленников, дальнейший сценарий управления зараженной системой может включать в себя, например, загрузку вирусов для кражи ценных документов и коммерческого кибершпионажа (в случае с энергетическими компаниями) или для вывода денежных средств (если речь идет о банках). Кроме того, хакеры могут монетизировать свои действия, продавая сами точки присутствия в инфраструктуре организаций.

По статистике «Ростелеком-Солар», 80% таких атак было направлено на банки. Но в оставшихся 20% случаев, которые пришлись на энергетику, хакеры атаковали более активно — специалистам из этой отрасли было отправлено около 60% от общего числа фишинговых писем, причем их качество также говорит о более тщательной подготовке со стороны злоумышленников.

«Любопытно, что стилистика вредоносного кода очень похожа на ту, что использует русскоговорящая хакерская группировка Silence, которая до недавнего времени специализировалась исключительно на банках. То есть либо Silence осваивает новые отрасли и способы зарабатывания денег, либо появилась новая, очень профессиональная группировка, которая удачно имитирует код Silence, сбивая прицелы специалистов по информационной безопасности», — комментирует Игорь Залевский, руководитель центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар».

Как отмечают эксперты JSOC CERT, cтоль непростой механизм доставки вредоносного ПО до конечной точки встречается крайне редко и обычно свидетельствует о целенаправленной атаке. Автоматизированные средства защиты — антивирусы и песочницы — не могут детектировать подобные инциденты, так как они рассчитаны на выявление атак из одного – максимум двух этапов. В этих условиях службам безопасности организаций рекомендуется особенно внимательно подойти к вопросу повышения киберграмотности сотрудников.

ДРУГИЕ НОВОСТИ

Егор Кончаловский и главы российского бизнеса представят свой взгляд на будущее страны и ее кибербезопасности на Форуме DLP+ 20.05.2022
Егор Кончаловский и главы российского бизнеса представят свой взгляд на будущее страны и ее кибербезопасности на Форуме DLP+
Перспективы страны и отрасли обсудят эксперты индустрии кибербезопасности, главы корпораций, деятели культуры ...
Solar JSOC CERT советует срочно обновить VipNet Client от «ИнфоТеКС» – обнаружены недостатки в безопасности 19.05.2022
Solar JSOC CERT советует срочно обновить VipNet Client от «ИнфоТеКС» – обнаружены недостатки в безопасности
Центр расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» выявил недостатки безопасности в ПО для защиты рабочих мест – VipNet Client компании «ИнфоТеКС». Недостатки обнаружены в ходе расследования продвинутой кибератаки. С их помощью злоумышленники могут заражать систему любым вирусом, например, для последующей кражи, удаления или шифрования чувствительных данных. Вендор уже выпустил новую версию продукта, закрывающую данную проблему, – эксперты настоятельно рекомендуют компаниям обновиться. ...

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах