Эксперты «Лаборатории Касперского» зафиксировали новую волну рассылок фишинговых писем с вредоносными вложениями. С их помощью были атакованы по меньшей мере 400 промышленных компаний, преимущественно на территории России. Выяснилось, что основная цель киберпреступников – кража денежных средств со счетов организаций. Эта серия атак началась в сентябре 2017 года и продолжается до сих пор, а первые подобные инциденты были зафиксированы экспертами по кибербезопасности ещё в 2015 году.
По сведениям «Лаборатории Касперского», на данный момент были атакованы около 800 компьютеров сотрудников промышленных компаний, относящихся к следующим индустриям: нефть и газ, металлургия, инжиниринг, энергетика, строительство, добыча полезных ископаемых, логистика. Как правило, мошенники рассылают по электронной почте письма, имеющие вид рабочей переписки на тему оплаты услуг, проведения платежей, сверки документов и других финансовых вопросов. Вредоносные вложения либо упакованы в архивы, либо вообще отсутствуют (во втором случае пользователя провоцируют перейти по ссылке на сторонний сайт и скачать зловредный объект оттуда). При этом киберпреступники обращаются к каждому сотруднику по фамилии, имени и отчеству, формируют индивидуальные письма и учитывают специфику атакуемых организаций.
Используемая мошенниками вредоносная программа устанавливает в системе модифицированное ПО для удалённого администрирования, а именно – TeamViewer или Remote Manipulator System (RMS). Таким образом злоумышленники получают контроль над системами, причём в ходе атак они прибегают к различным техникам, позволяющим скрыть заражение. Далее киберпреступники находят и изучают документы о проводимых закупках и ПО для осуществления бухгалтерских операций. Полученная информация помогает им в совершении финансовых операций. В частности, злоумышленники подменяют реквизиты платёжных поручений, по которым должна производится оплата выставленных счетов, и средства уходят сторонним получателям.
Если после заражения системы атакующим необходимы ещё какие-либо данные или возможности, они загружают дополнительный набор вредоносных программ, созданный с учётом особенностей заражения каждой жертвы. Это могут быть шпионские программы, дополнительные утилиты удалённого администрирования, расширяющие контроль на заражённых системах, вредоносное ПО для эксплуатации уязвимостей в ОС и прикладном ПО, а также утилита Mimikatz, позволяющая получить данные аккаунтов учётных записей Windows.
«Киберпреступники продемонстрировали явный интерес к промышленным компаниям. Исходя из нашего опыта, можно предположить, что это связано с уровнем осведомлённости персонала атакуемых организаций в вопросах кибербезопасности. К сожалению, он существенно ниже, чем в других сферах экономики – например, на рынке финансовых услуг», – рассказал Вячеслав Копейцев, антивирусный эксперт «Лаборатории Касперского».
