РБК: эксперты зафиксировали атаку более чем на 50 компаний РФ от имени крупнейших брендов

Издание сообщает, что хакеры направляли письма с вредоносным ПО, в частности, от имени «Ашана», «Магнита», «Славнефти» и ГК «Пик»

Описание© Сергей Коньков/ТАСС Эксперты по кибербезопасности зафиксировали массовую атаку более чем на 50 российских компаний, хакеры выдавали себя за представителей известных брендов, в том числе розничных сетей, строительных и нефтяных компаний. Это первая массовая атака, которая производилась через «умные» устройства, сообщает в субботу издание РБК со ссылкой на представителя компании по кибербезопасности «Ростелеком-Solar».

«Неизвестные атаковали более 50 крупных российских компаний, выдавая себя за представителей известных брендов <…> Киберпреступники направляли письма с вредоносным ПО, в частности, от имени «Ашана», «Магнита», «Славнефти» и ГК «Пик». В большинстве случаев используются именно эти бренды, что характерно для фишинга, не таргетированного на конкретную отрасль. Пытаются сделать атаку как можно более массовой и увеличить охват», — рассказали РБК в «Ростелеком-Solar».

Представитель компании Владимир Дрюков отметил, что активность злоумышленников пришлась на февраль 2019 года. Факт атаки РБК подтвердили представители компаний из сферы информационной безопасности Group-IB и Positive Technologie.

Особенность новой волны атак — использование «умных» устройств, например, роутеров, расположенных в странах Азии, Латинской Америки, Европы, в России, пишет РБК. Раньше для таких целей злоумышленники использовали обычные серверы.

«Обычно устройства интернета вещей (англ. Internet of Things, IoT — прим. ТАСС) используются для DDoS-атак (атака на веб-сервер через отправку массовых запросов, для вывода его из строя — прим. ТАСС) Рассылка фишинговых писем с роутеров — пока экзотика. Как мы видим, письма рассылаются с устройств, учетные записи которых имеют слабый пароль», — отметил Владимир Дрюков.

Злоумышленники атакуют с помощью писем с вредоносным содержанием (фишинг), которые приходят по будням в рабочие часы, пояснил РБК Дрюков. По его мнению, целью хакеров является заражение инфраструктуры шифровальщиком Shade/Troldesh. Программа кодирует файлы на устройстве пользователя и требует у него плату за доступ к ним.

По его словам, сотрудники компаний, на которые происходит атака, получают по 10-50 писем в день в зависимости от размера организации и количества электронных ящиков корпоративной почты. Обычно частота подобных фишинг-рассылок примерно в три-пять раз ниже, отмечается в публикации РБК. Какие именно компании получали фишинговые письма, каков размер нанесенного злоумышленниками ущерба, собеседники РБК не раскрывают.

Направления атак

По данным другого источника РБК на рынке кибербезопасности, список скомпрометированных компаний больше, чем 50. Атаки, по его словам, начались еще в ноябре 2018 года, но их пик пришелся на февраль.

«Первым, кем на этот раз прикинулся шифровальщик, стал Газпромбанк, рассылки шли якобы от менеджеров этого банка. Спустя две недели злоумышленники «переоделись» в менеджеров банка «Открытие», в декабре — Бинбанка», — сообщил собеседник РБК. В феврале использовались варианты прикрытия писем от ГК «Дикси», Metro Cash & Carry и Philip Morris». Он также подчеркнул, что все эти компании никакого отношения не имеют к рассылке.

Скомпрометированные этой атакой бренды знают о проблеме. «Действительно, некоторое время назад мы получили большое количество жалоб от наших деловых партнеров на подозрительные электронные письма, которые приходили якобы от нашей компании, — сообщил РБК представитель ГК «Дикси». — Контрагентам и партнерам компании были направлены информационные письма с просьбой внимательно проверять входящую электронную корреспонденцию». По словам источника издания в «Славнефти», последняя хакерская атака была около двух недель назад.

По данным Group-IB, с середины 2017 года до середины 2018 года в России фиксировалось в среднем 108 фишинговых атак в день, за счет которых удалось похитить 251 млн рублей, что на 6% больше, чем за аналогичный период годом ранее.