Технологии и медиа, 14 авг 2020, 12:35

Новая хакерская группировка атаковала банки под видом журналистов

Вместо вопросов для интервью финансисты получали вредоносное ПО
Хакеры из группировки TinyScouts отправляют письма в банки с предупреждением о второй волне COVID-19. Сотрудникам финучреждений также предлагается дать интервью — злоумышленники маскируются под журналистов, в том числе из РБК
Читать в полной версии
Фото: Рамиль Ситдиков / РИА Новости

В интернете появилась новая хакерская группировка, которая атакует банки и энергетические компании, рассказали РБК специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC «Ростелекома». Она получила название TinyScouts (по сочетанию названия фрагментов в программном коде вируса). Хакеры используют сложную схему атаки и уникальное вредоносное ПО, ранее неизвестное специалистам Solar JSOC.

О новой хакерской группировке знает и руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов. По его словам, первые атаки на банки произошли в апреле, группировку в Group-IB называют oldgremlin, а вирусную программу, с помощью которой действуют злоумышленники, — TinyPosh.

Как происходит атака

На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых предупреждают о начале второй волны пандемии коронавируса. Для получения дополнительной информации адресату предлагают пройти по внешней ссылке, рассказывают в Solar JSOC. Встречаются также варианты фишинговых писем, имеющих четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит «вполне убедительно», однако также содержит вредоносную ссылку.

«Свои письма хакеры oldgremlin рассылают от имени различных юридических лиц, мы фиксировали рассылку от имени СРО «Мир», клиники «НоваДент» и других. Естественно, к этим организациям вредоносные кампании не имеют никакого отношения», — добавляет Миркасымов.

По словам представителя СРО «Мир», о подобных атаках с использованием ее имени компании не известно. «Вместе с тем мы знаем о случаях, когда целями становились МФО. Первые рассылки были зафиксированы весной, последняя, о которой нам известно, — в июле. С подобной же проблемой столкнулись и две другие СРО МФО примерно в тот же период времени, что также указывает на ее массовость, атаку на сектор в целом», — отмечает собеседник РБК.

РБК направил запросы в «НоваДент».

Что такое фишинг

Фишинг — это вид интернет-мошенничества, с помощью которого получают доступ к конфиденциальным данным пользователей — логинам и паролям. Как правило, злоумышленники отправляют электронные сообщения с фишинговыми ссылками внутри. Эти ссылки ведут на сайт, внешне не отличимый от настоящего, либо на страницу с функцией переадресации на другую. После клика на подобную ссылку на компьютер жертвы может загрузиться вредоносное ПО.

По данным Solar JSOC, в среднем примерно в 70% случаев именно фишинг считается первым этапом сложной целенаправленной атаки. Количество заблокированных Group-IB фишинговых ресурсов во втором квартале 2020 года увеличилось на 71% по сравнению с тем же периодом 2019-го, рассказали в компании.

Кликнув по ссылке в письме, жертва запускает загрузку основного компонента вредоносного ПО. «На этом этапе злоумышленники действуют максимально осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников», — объясняют в Solar JSOC.

На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль — «вымогатель», шифрующий всю информацию на устройстве и требующий выкуп за расшифровывание.

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное ПО, защищенное несколькими слоями обфускации (ПО для запутывания кода) и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией.

Сколько именно компаний пострадало в рамках атаки, в Solar JSOC и Group-IB не раскрывают.

Кем притворяются хакеры

Самой примечательной была атака якобы от имени журналиста РБК, вспоминает Рустам Миркасымов

Предупреждение

Рабочий адрес сотрудников редакции РБК — @rbc.ru. Редакция просит внимательно относиться к письмам и сообщениям от лица РБК, полученным с других почтовых аккаунтов.

Используя методы социальной инженерии, хакеры написали поддельное письмо, отправленное якобы с корпоративной почты РБК, которое также содержало логотип компании. В нем (копия есть у РБК) одному из сотрудников калининградского банка злоумышленники представились журналистом издания и предложили получателю пройти интервью в рамках «всероссийского исследования банковского и финансового сектора во время пандемии коронавируса». «Злоумышленник под именем журналиста назначает интервью и сообщает, что добавил его в Calendly (открытый планировочный сервис. — РБК), на самом же деле для проведения атаки хакеры создали [аналогичный] календарь, в котором и назначали встречу жертве. После предложения об интервью злоумышленники написали повторное письмо жертве: в нем журналист сообщает, что написал вопросы для интервью, выгрузил их в облако и ждет ответов на них. Повторное письмо хакеры направляют, чтобы удостовериться, что получатель на крючке: он заинтересован, прочитал письмо и перешел по ссылке. Для большей убедительности в каждом письме фигурирует имя известного вендора в сфере кибербезопасности, которым якобы проверено письмо. Так oldgremlin окончательно усыпляют внимание атакуемого», — объясняет Миркасымов.

«То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts, как минимум о технической готовности к ряду одновременных атак на крупные организации», — делают вывод в Solar JSOC.

На что могут рассчитывать пострадавшие компании

РБК (и другие компании, которыми притворялись злоумышленники) может заявиться потерпевшим в рамках расследования уголовного дела в соответствии со ст. 42 Уголовно-процессуального кодекса, указав на причинение преступлением вреда деловой репутации, объясняет партнер адвокатского бюро «Забейда и партнеры» Дарья Константинова: «Однако есть нюансы: потерпевшим от преступления лицо может быть признано только в случае, если непосредственно преступлением этот вред был причинен. Опосредованное причинение вреда может являться основанием лишь для подачи гражданского иска. Поэтому при подаче заявления о признании потерпевшим необходимо будет конкретизировать и обосновать, какой конкретно вред был причинен деловой репутации непосредственно преступлением».

По словам представителей Solar JSOC и Group-IB, хакеры атакуют банки и энергетические компании, однако не раскрывают названия организаций. Представители ВТБ и Тинькофф Банка рассказали РБК, что не фиксировали похожих атак. РБК направил запрос в Сбербанк, Альфа-банк, Газпромбанк и банк «Траст».

Рынок киберпреступности, составляющий, по разным оценкам, около $1 трлн, демонстрирует рост, рассказывает ведущий аналитик направления «Информационная безопасность» ИТ-компании КРОК Анастасия Федорова. «Пандемия подстегнула расти не только цифровые технологии, но и цифровую преступность с использованием различных мошеннических схем: таргетированных атак, социальной инженерии, фишинга. Исходя из этого, нет ничего удивительного в появлении нового игрока на растущем рынке — очередной хакерской группировки. Ее почерк можно назвать довольно классическим: попытка входа через фишинговые письма. Самым слабым звеном в безопасности организаций остается пользователь. В большинстве организаций даже с налаженными процессами по обучению в области безопасности около 80% пользователей открывают письма и переходят по зараженным ссылкам», — говорит эксперт.

Pro
Темная сторона ЗОЖ: что такое хелсизм и чем он опасен
Pro
Все выводит из себя: почему мы злимся по пустякам и как это изменить
Pro
Кто в IT может получать €5 тыс. в месяц, а кто не найдет работу
Pro
Аттестация без негатива, обид и страха: 10 правил оценки персонала
Pro
Обыск или выемка: почему необязательно давать пароли от личных устройств
Pro
Когда все пошло не по плану: 5 техник адаптации к вынужденным переменам
Pro
Почему так сложно зарегистрировать «советский» бренд в Роспатенте
Pro
Скоро работодатели смогут забраться в голову к работникам. Законно ли это