5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

Многие кибератаки оказываются успешными по простой причине: сотрудники организаций, на которые они направлены, не раздумывая открывают заражённые письма или переходят по злонамеренным ссылкам. Особенно остро эта проблема стоит в госсекторе и малом бизнесе.

Как сообщили «Известиям» в центре исследований киберугроз Solar 4RAYS ГК «Солар», при расследовании атаки группировки Cloud Atlas на одно из государственных учреждений выяснилось, что сотрудник пять раз пытался открыть заражённый файл.

Cloud Atlas известна с 2014 года и атакует госучреждения и промышленные компании в разных странах, включая Россию.

Для первичного проникновения злоумышленники используют заражённые документы в офисных форматах. Они имитируют деловую переписку и маскируются под коммерческие предложения, рекламу, справки или акты. Сам файл выступает лишь приманкой — при его открытии происходит загрузка вредоносного кода.

В случае, который расследовал Solar 4RAYS, сотрудник пытался открыть документ с якобы рекламой новосибирского предприятия. Однако установленная в учреждении система мониторинга не позволила загрузить вредоносный код с удалённого сервера в полном объёме.

«Этот пример показывает, насколько важно постоянно обучать сотрудников правилам кибергигиены», — отметил эксперт центра исследований киберугроз Solar 4RAYS ГК «Солар» Владимир Духанин.

Подобные случаи не единичны. Как подчеркнул старший аналитик Cyber Threat Intelligence «Лаборатории Касперского» Сергей Киреев, иногда негативный пример подают сами руководители. Он привёл случай директора небольшой компании, который игнорировал предупреждения ИТ-специалистов об опасности перехода по подозрительным ссылкам, считая, что за ними могут скрываться выгодные предложения. В итоге компания столкнулась с заражением.

В другом инциденте сотрудник, не сумев открыть документ, переслал его коллегам. В файле оказался троян, который привёл к заражению всей компании.

Был и случай, когда сотрудник попросил отправителей прислать «корректную» версию не открывающегося документа. Оказалось, что это были злоумышленники, допустившие ошибку при подготовке файла. Они исправили её и повторно отправили документ со зловредом, после чего организация была заражена.

Руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies Денис Кувшинов также отметил, что злоумышленники активно пользуются неподготовленностью сотрудников, в том числе в государственных структурах. Он напомнил о кампании группировки Goffee, в ходе которой сотрудник несколько раз открывал вложение из фишингового письма, так как оно не запускалось. В других случаях пользователи не только сами открывали вложения, но и пересылали их коллегам, расширяя масштаб инцидента.

Госсектор остаётся одной из наиболее атакуемых отраслей в России. Основной способ первичного проникновения — фишинг, в том числе целевой.

По мнению Дениса Кувшинова, у сотрудников часто отсутствует достаточная настороженность, поскольку они не несут личной ответственности за последствия своих действий. Кроме того, сказывается недостаточный уровень защищённости самих организаций — при этом для отражения многих атак достаточно базовых мер защиты.

Руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова обратила внимание, что злоумышленники часто выбирают моменты максимальной загрузки сотрудников: «В отчётный период у бухгалтеров или при большом потоке документов у госслужащих сотрудники действуют автоматически, не вникая в детали. Любое “срочно” в таких условиях получает приоритет. Особая категория — ИТ-специалисты и технический персонал. Им отправляют письма про “обновление системы” или “сбой безопасности”, и профессиональный автоматизм срабатывает против них».

«Внимательность напрямую зависит от эмоционального состояния и уровня внутренней устойчивости. При стрессе, тревожном информационном фоне и высокой нагрузке когнитивные фильтры работают хуже. В таком состоянии человек чаще действует автоматически и может пропустить угрозу. Фишинговые письма, замаскированные под деловые, бьют именно по стремлению быстро ответить и выполнить задачу», — подчеркнула психолог Мария Тодорова.

ГК «Солар» и SEG-T разрабатывают почтовый шлюз с ИИ-фильтрацией

Ко-фаундер Secure-T Харитон Никишкин при поддержке ГК «Солар» запустил разработку решения SEG-T для защиты корпоративной почты. Продукт относится к классу security email gateway и должен фильтровать входящий и исходящий почтовый трафик с помощью мультиагентного ИИ.

Разработчики связывают запуск проекта с ростом фишинговых атак.

Сегодня такие кампании всё чаще собираются из готовых инструментов: панелей управления, инфраструктуры рассылки, антибот-механизмов, модулей перехвата одноразовых кодов и других компонентов. Дополнительно атакующие используют ИИ, чтобы быстрее готовить убедительные письма и масштабировать обман.

SEG-T должен анализировать сообщения не только по техническим признакам, но и по смыслу. ИИ будет оценивать тональность письма, признаки манипуляции, попытки вызвать доверие, страх или срочно подтолкнуть адресата к действию. Также система сможет блокировать письма со ссылками, архивами, PDF, исполняемыми файлами, SVG и другими вложениями, которые могут содержать вредоносный контент.

От отдельной встроенной «песочницы» разработчики отказались. По их оценке, значительная часть современных атак строится не на вредоносном коде, а на социальной инженерии: подмене отправителя, психологическом давлении и попытках заставить пользователя самому выполнить нужное действие. Для критичных вложений при этом планируют оставить возможность подключать внешние «песочницы».

Решение также предполагается использовать вместе с другими продуктами «Солара»: например, с Solar webProxy для проверки трафика и Solar Dozor для контроля пересылки персональных данных — ИНН, СНИЛС, паспортных данных и номеров банковских карт.

SEG-T будет доступен в облаке, локальной сети и Kubernetes. По заявлению разработчиков, запуск продукта в эксплуатацию в среднем должен занимать около 15 минут.

В проекте «Солару» принадлежит 49%. Ранее компания уже увеличила долю в Secure-T до контрольного пакета. Новый проект продолжает направление, связанное с защитой от фишинга, спама, вредоносных рассылок и атак на корпоративную почту.

RSS: Новости на портале Anti-Malware.ru