Многие кибератаки оказываются успешными по простой причине: сотрудники организаций, на которые они направлены, не раздумывая открывают заражённые письма или переходят по злонамеренным ссылкам. Особенно остро эта проблема стоит в госсекторе и малом бизнесе.
Как сообщили «Известиям» в центре исследований киберугроз Solar 4RAYS ГК «Солар», при расследовании атаки группировки Cloud Atlas на одно из государственных учреждений выяснилось, что сотрудник пять раз пытался открыть заражённый файл.
Cloud Atlas известна с 2014 года и атакует госучреждения и промышленные компании в разных странах, включая Россию.
Для первичного проникновения злоумышленники используют заражённые документы в офисных форматах. Они имитируют деловую переписку и маскируются под коммерческие предложения, рекламу, справки или акты. Сам файл выступает лишь приманкой — при его открытии происходит загрузка вредоносного кода.
В случае, который расследовал Solar 4RAYS, сотрудник пытался открыть документ с якобы рекламой новосибирского предприятия. Однако установленная в учреждении система мониторинга не позволила загрузить вредоносный код с удалённого сервера в полном объёме.
«Этот пример показывает, насколько важно постоянно обучать сотрудников правилам кибергигиены», — отметил эксперт центра исследований киберугроз Solar 4RAYS ГК «Солар» Владимир Духанин.
Подобные случаи не единичны. Как подчеркнул старший аналитик Cyber Threat Intelligence «Лаборатории Касперского» Сергей Киреев, иногда негативный пример подают сами руководители. Он привёл случай директора небольшой компании, который игнорировал предупреждения ИТ-специалистов об опасности перехода по подозрительным ссылкам, считая, что за ними могут скрываться выгодные предложения. В итоге компания столкнулась с заражением.
В другом инциденте сотрудник, не сумев открыть документ, переслал его коллегам. В файле оказался троян, который привёл к заражению всей компании.
Был и случай, когда сотрудник попросил отправителей прислать «корректную» версию не открывающегося документа. Оказалось, что это были злоумышленники, допустившие ошибку при подготовке файла. Они исправили её и повторно отправили документ со зловредом, после чего организация была заражена.
Руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies Денис Кувшинов также отметил, что злоумышленники активно пользуются неподготовленностью сотрудников, в том числе в государственных структурах. Он напомнил о кампании группировки Goffee, в ходе которой сотрудник несколько раз открывал вложение из фишингового письма, так как оно не запускалось. В других случаях пользователи не только сами открывали вложения, но и пересылали их коллегам, расширяя масштаб инцидента.
Госсектор остаётся одной из наиболее атакуемых отраслей в России. Основной способ первичного проникновения — фишинг, в том числе целевой.
По мнению Дениса Кувшинова, у сотрудников часто отсутствует достаточная настороженность, поскольку они не несут личной ответственности за последствия своих действий. Кроме того, сказывается недостаточный уровень защищённости самих организаций — при этом для отражения многих атак достаточно базовых мер защиты.
Руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова обратила внимание, что злоумышленники часто выбирают моменты максимальной загрузки сотрудников: «В отчётный период у бухгалтеров или при большом потоке документов у госслужащих сотрудники действуют автоматически, не вникая в детали. Любое “срочно” в таких условиях получает приоритет. Особая категория — ИТ-специалисты и технический персонал. Им отправляют письма про “обновление системы” или “сбой безопасности”, и профессиональный автоматизм срабатывает против них».
«Внимательность напрямую зависит от эмоционального состояния и уровня внутренней устойчивости. При стрессе, тревожном информационном фоне и высокой нагрузке когнитивные фильтры работают хуже. В таком состоянии человек чаще действует автоматически и может пропустить угрозу. Фишинговые письма, замаскированные под деловые, бьют именно по стремлению быстро ответить и выполнить задачу», — подчеркнула психолог Мария Тодорова.
![APT28 атаковала UKR[.]NET: фишинг, PDF и прокси ngrok](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/fancy_bear-news.png?itok=l8qWG_nF×tamp=1766255143)
