Эксперты рассказали о новом способе кибератак на корпоративные данные
Новые атаки отличаются от кибератак с применением вирусов-шифровальщиков тем, что мошенники используют не специально созданную вредоносную программу, а штатную технологию шифрования дисков BitLocker, включенную в состав операционной системы Windows. Об этом рассказали РБК в «Лаборатории Касперского».
По данным «Лаборатории Касперского», несколько российских компаний пострадали от атак вымогателей, которые заблокировали доступ к корпоративным данным и требовали выкуп.
В компании объяснили, что мошенники попадают в корпоративную сеть с помощью фишинговых писем, которые рассылаются от имени разных компаний с целью получения данных пользователя или уязвимостей в системе. После этого они находят в панели управления функцию BitLocker, производят шифрование и присваивают себе ключи, логины и пароли, которые генерирует эта программа, уточнили в «Лаборатории Касперского».
Как рассказали в компании, как только мошенники получают доступ к серверу, в котором содержится информация о всех корпоративных устройствах, они могут полностью зашифровать IT-инфраструктуру организации.
Главный эксперт «Лаборатории Касперского» Сергей Голованов объяснил, что сейчас сложно оценить реальное количество атак, так как злоумышленники используют штатные средства операционной системы.
«На данном этапе можно предположить, что это не таргетированная кампания: атакованные компании не схожи как по размеру, так и по сферам деятельности», — отметил эксперт. По словам Голованова, мошенники составляют фишинговые письма без учета специфики предприятия и носят массовый характер.
Ранее «Лаборатория Касперского» зафиксировала хакерские атаки на десять российских финансовых и транспортных компаний с использованием ранее неизвестной программы-шифровальщика Quoter, а также фишинговых писем с банковской троянской программой. Хакеры рассылали фишинговые письма с такими темами, как «Повестка в суд», «Заявка на возврат», «Закрывающие документы» или «Копии документов за прошлый месяц». Как только получатель переходил по ссылке или открывал вложение, на его устройство загружалась вредоносная троянская программа RTM.
После злоумышленники пытались перевести деньги через бухгалтерские программы при помощи подмены реквизитов в платежных поручениях либо вручную с использованием средств удаленного доступа. Если им это не удавалось, они применяли Quoter, которая шифровала данные и оставляла контакты для связи с хакерами. Если получатель не реагировал, они грозились выложить в открытый доступ украденные личные данные и прикладывали доказательства, а в качестве выкупа требовали около $1 млн.