Нас всех подстерегает случай,
как быть готовым к нему?

В октябре активность злоумышленников не снижалась – напротив, они искали и часто успешно находили новые возможности для атак на компании и людей. Чтобы избежать потерь, необходимо повышать цифровую грамотность, знать, как противостоять действиям атакующих и минимизировать ущерб. И, конечно, не терять бдительности!

«Лаборатории Касперского»

Майнер-червь со сложным кодом и возможностями для шпионажа

Эксперты компании обнаружили ранее неизвестную и крайне сложную вредоносную атаку, которая получила название StripedFly. С 2017 года её жертвами стали более миллиона пользователей по всему миру, сейчас она продолжается, хоть и менее активно. Долгое время предполагалось, что вредонос представляет собой обычный криптомайнер, но позднее выяснилось, что это сложная программа с многофункциональным работоспособным фреймворком. Об этом исследователи компании рассказали на Security Analyst Summit.

В 2022 году эксперты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Global Research and Analysis Team – GReAT) обнаружили два новых инцидента с использованием этого зловреда. Они были связаны с системным процессом wininit.exe в Windows. В этом процессе была обнаружена последовательность кода, которая ранее использовалась во вредоносном ПО Equation. И хотя активность найденных образцов продолжалась как минимум с 2017 года – она не была сразу досконально изучена на этапе предварительного анализа, поскольку изначально её ошибочно приняли за обычный криптомайнер. После всестороннего исследования выяснилось, что криптомайнер – это лишь часть более сложной мультиплатформенной структуры с множеством плагинов.

Множество модулей обнаруженного ВПО позволяет злоумышленникам использовать его в рамках APT-атак, а также как криптомайнер или даже программу-вымогатель. Соответственно, существенно расширяется список возможных мотивов злоумышленников – от извлечения финансовой выгоды до шпионажа. Примечательно, что стоимость криптовалюты Monero, добываемой с помощью вредоносного модуля, на пике 9 января 2018 года достигла $542,33. Для сравнения, в 2017 году её цена была около $10. Сейчас, в 2023 году, стоимость криптовалюты держится на уровне $150. Эксперты компании подчёркивают, что модуль для майнинга – это ключевой фактор, из-за которого вредоносное ПО долгое время не получалось полноценно обнаружить.

У злоумышленников есть много возможностей для скрытого шпионажа за жертвами. Вредоносное ПО собирает учётные данные каждые два часа: это могут быть логины и пароли для входа на веб-сайт или для подключения к Wi-Fi, либо персональные данные человека, включая имя, адрес, номер телефона, место работы и должность. Помимо этого, вредонос может незаметно делать скриншоты с устройства жертвы, получать полный контроль над ним и даже записывать голосовые данные с микрофона.

Источник первичного заражения компьютера долго оставался неизвестным. Дальнейшее исследование «Лаборатории Касперского» показало, что злоумышленники используют для этого собственную реализацию эксплойта EternalBlue «SMBv1». Уязвимость EternalBlue была обнаружена ещё в 2017 году, после чего компания Microsoft выпустила исправление (MS17-010). Однако угроза всё еще актуальна, поскольку не все пользователи обновляют систему.

В ходе технического анализа кампании эксперты обнаружили сходство с вредоносным ПО Equation. На это указывали технические индикаторы, в том числе сигнатуры, стиль программирования, а также методы, похожие на те, что использовались во вредоносном ПО StraitBizzare (SBZ). Судя по данным, полученным со счётчика загрузок, целью StripedFly стали более миллиона пользователей по всему миру.

«Количество усилий, которые были приложены для создания этого фреймворка, поистине впечатляют. Основная сложность для специалистов в области кибербезопасности заключается в том, что злоумышленники постоянно адаптируются к меняющимся условиям. Поэтому нам, исследователям, важно объединять усилия по выявлению сложных киберугроз, а клиентам – не забывать о комплексной защите от кибератак», – комментирует Сергей Ложкин, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы защититься от целевых атак злоумышленников, эксперты «Лаборатории Касперского» рекомендуют:

• регулярно обновлять операционную систему, приложения и антивирусное ПО, чтобы вовремя устранять уязвимости;
• с осторожностью относиться к электронным письмам, сообщениям или звонкам, в которых вас просят сообщить конфиденциальную информацию; проверять личность отправителей перед тем, как передавать им свои данные или переходить по подозрительным ссылкам;
• обеспечить доступ к базе данных об угрозах (TI) специалистам Центра управления безопасностью (SOC);
• повышать уровень знаний команды в области кибербезопасности, в частности о новейших целевых угрозах;
• использовать EDR-решения для своевременного обнаружения и реагирования на инциденты на уровне конечных устройств.

Атаки на российские учреждения с целью кражи данных

Злоумышленники использовали фишинговые письма, чтобы красть данные организаций с помощью нового бэкдора.

Летом 2023 года «Лаборатория Касперского» выявила массовые вредоносные рассылки по десяткам российских учреждений из государственного и индустриального сектора. Злоумышленники рассылали письма якобы от регулятора с вложенным вредоносным архивом. Он запускал вредоносный скрипт, который с помощью нескольких модулей пытался украсть данные с заражённого устройства: снимки экрана, документы, пароли из браузеров, информацию из буфера обмена.

Техническая сторона атаки. Злоумышленники начали рассылать письма в июне 2023 года. Если жертва откроет вредоносный архив из такого сообщения, на устройстве автоматически запускается скрипт [NSIS].nsi, который открывает легитимный подложный документ в формате PDF, чтобы отвлечь внимание жертвы. Одновременно скрипт запускает загрузку и установку вредоносного бэкдора в скрытом окне, который он получает с веб-ресурса. При этом название сайта имитирует сайт официального ведомства.

После запуска зловред проверяет доступ в интернет и пытается подключиться к легитимным веб-ресурсам – зарубежным СМИ. Затем он проверяет заражённое устройство на наличие ПО и инструментов, которые могли бы обнаружить его присутствие – например, песочниц или виртуальных сред. В случае наличия хотя бы одной, бэкдор прекращал свою активность.

Когда все проверки были пройдены, зловред подключался к серверу атакующих и загружал модули, которые позволяли ему красть информацию из буфера обмена, делать снимки экрана, находить пользовательские документы в популярных расширениях (например, doc, .docx, .pdf, .xls, .xlsx). Все данные передавались на сервер управления.

Вторая волна. Новую версию описанного бэкдора исследователи заметили в середине августа этого же года. Используемая цепочка заражения не изменилась, вредоносный скрипт-загрузчик был идентичным. Среди отличий – злоумышленники убрали проверку доступа в интернет через обращение к легитимным веб-ресурсам: теперь вредоносная программа сразу же подключалась к серверу управления. Также в арсенале зловреда появился модуль, который позволял красть пароли из браузеров. Помимо этого, увеличилось количество проверок среды на наличие инструментов, способных обнаружить вредоносную активность.

«Фишинговые письма – один из популярных способов проникновения злоумышленников в инфраструктуру. Атакующие, как в данном случае, стремятся использовать правдоподобные легенды, легитимные документы и применять всё более сложные тактики для скрытия своей деятельности. Так, исполнение вредоносного кода с помощью . nsi скрипта усложняет анализ вредоносной активности. Кроме того, мы отмечаем, что атакующие постоянно ищут новые изощрённые способы обойти защитные решения. Важно оставаться настороже и обращать внимание на любые подозрительные детали даже в деловых переписках», – предупреждает Тимофей Ежов, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы не стать жертвой подобных атак, «Лаборатория Касперского» рекомендует:

• с осторожностью относиться к письмам, которые приходят с незнакомых адресов, особенно когда речь идёт о персональных данных, денежных операциях и подозрительных вложениях, даже если визуально похоже, что письмо пришло от известной организации или госоргана, по возможности проверять подлинность письма по телефону;
• проверять почтовый адрес, с которого пришло письмо, и не пересылать сообщения третьим лицам, не перепроверив содержащуюся в них информацию;
• предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;
• пользователям следует повышать уровень цифровой грамотности, компаниям – проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии;
• установить надёжное защитное решение, которое автоматически будет отправлять подобные письма в спам;
• регулярно обновлять всё ПО, которое используется в работе организации.

Атаки на СМБ, госструктуры и сельскохозяйственные организации с использованием новых вредоносных скриптов

Исследователи компании выявили более 10 тысяч финансово мотивированных атак на организации из разных стран – в том числе из России – в рамках кампании с использованием нескольких типов вредоносного ПО, о которой ранее сообщало ФБР. Как выяснили эксперты, злоумышленники применяют не только бэкдоры, кейлоггеры и майнеры, но и новые вредоносные скрипты, позволяющие отключить функции безопасности и облегчить загрузку вредоносных программ.

Кампания в цифрах. По данным телеметрии «Лаборатории Касперского», кампания продолжается: с мая по октябрь было совершено более 10 тысяч атак, которые затронули более 200 пользователей. Целью злоумышленников в первую очередь были государственные организации, сельскохозяйственные и торговые предприятия из России, Саудовской Аравии, Вьетнама, Бразилии и Румынии. Отдельные случаи были зафиксированы в США, Индии, Марокко и Греции.

Как действуют атакующие. ФБР ранее сообщило, что организации из разных стран подвергаются атакам c использованием сразу нескольких видов вредоносного ПО. Злоумышленники заражают их устройства для того, чтобы с помощью майнеров использовать ресурсы компании для добычи криптовалюты. Помимо этого, используются кейлоггеры для кражи данных и бэкдоры – для получения доступа к системе.

Злоумышленники могут проникать в систему, эксплуатируя уязвимости на серверах и рабочих станциях. Эксперты компании также обнаружили, что для атак используются новые версии вредоносных скриптов. С их помощью атакующие пытаются обойти Microsoft Defender, а также получить права администратора и помешать работе антивирусных компонентов. Если им это удаётся, они загружают бэкдор, кейлоггер и майнер с веб-ресурса, который сейчас уже недоступен.

Майнер использует ресурсы системы, чтобы добывать различные криптовалюты, например Monero (XMR). В свою очередь кейлоггер фиксирует, какие клавиши нажимает пользователь на клавиатуре и мыши, а бэкдор устанавливает связь с сервером управления и контроля (C2) для получения и передачи данных. Это позволяет злоумышленникам получить удалённый контроль над скомпрометированной системой.

«Эта кампания с использованием различного вредоносного ПО быстро развивается, и, как мы видим, появляются новые модификации инструментов для совершения атак. По всей видимости, злоумышленники стремятся извлечь финансовую выгоду любым возможным способом. Как показало наше исследование, цель атак не ограничивается только майнингом криптовалют. Злоумышленники могут красть учётные данные, чтобы затем продавать их в даркнете, или же реализовывать более сложные сценарии, используя возможности бэкдоров, – комментирует Василий Колесников, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы защититься от постоянно развивающихся угроз, эксперты рекомендуют:

• своевременно обновлять ПО на всех устройствах и устанавливать обновления, чтобы избежать проникновения в сеть за счёт уязвимостей;
• проводить регулярный аудит безопасности ИТ-инфраструктуры организации, чтобы выявлять недостатки и уязвимости;
• использовать надёжное решение для обеспечения безопасности конечных устройств;
• отслеживать появление учётных данных в даркнете.

APT-кампания TetrisPhantom

Эксперты «Лаборатории Касперского» обнаружили действующую APT-кампанию с использованием скомпрометированного защищённого USB-накопителя определённого типа, который применяется для безопасного хранения данных. Эта кампания кибершпионажа, получившая название TetrisPhantom, направлена на государственные организации в Азиатско-Тихоокеанском регионе. Найденные в ходе расследования артефакты не позволяют однозначно отнести её к какой-либо известной кибергруппе злоумышленников. Эти и другие выводы подробно описаны в новом ежеквартальном отчёте «Лаборатории Касперского» о ландшафте APT-угроз.

Кампания была обнаружена в начале 2023 года. Злоумышленники тайно шпионили и собирали конфиденциальные данные государственных структур Азиатско-Тихоокеанского региона. Атакуемые защищённые USB-накопители используются в государственном секторе по всему миру, а это означает, что потенциально жертвами подобных методов могут стать ещё больше организаций.

Злоумышленники использовали различное вредоносное ПО, с помощью которого могли получить контроль над устройством жертвы. Это позволило им запускать процессы, выполнять команды, взаимодействовать с файловой системой, собирать данные со скомпрометированных машин и передавать их на другие компьютеры, используя в качестве носителей те же или другие защищённые USB-накопители.

По данным «Лаборатории Касперского», число атакованных жертв было небольшим, и это подтверждает целенаправленный характер атаки.

«Наше расследование выявило высокий уровень сложности данной кампании, так как в ней использовались такие техники, как программная обфускация через виртуализацию, низкоуровневое общение с USB-накопителями и самораспространение через подключённые защищённые USB. Данная кибератака проводилась высококвалифицированными злоумышленниками, проявляющими интерес к шпионской деятельности в правительственных сетях», – комментирует Нушин Шабаб, старший эксперт по кибербезопасности Глобального центра исследований и анализа угроз (GReAT).

Эксперты «Лаборатории Касперского» не обнаружили пересечений с ранее известными APT-группами, но исследование данной кампании продолжается, и, учитывая её длительный характер, ожидаются более сложные атаки в будущем.

Полный отчёт о ландшафте APT-угроз в третьем квартале 2023 года доступен на сайте Securelist.com.

Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют следующие меры:

• регулярно обновляйте программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
• сохраняйте бдительность при получении электронных писем, сообщений и звонков с просьбой предоставить конфиденциальную информацию. Уточняйте личность отправителя, прежде чем делиться какими-либо персональными данными или переходить по подозрительным ссылкам;
• предоставьте вашей команде SOC доступ к актуальной информации об угрозах (TI);
• проводите тренинги для специалистов по безопасности об актуальных угрозах;
• для защиты конечных точек, расследования и реагирования на инциденты внедрите EDR-решение.

Шесть принципов этичного использования ИИ в кибербезопасности

В рамках Глобальной инициативы по информационной открытости «Лаборатория Касперского» представила этические принципы разработки и использования систем на основе машинного обучения. Компания сделала это на Форуме по управлению Интернетом под эгидой ООН, одна из ключевых тем которого в этом году – искусственный интеллект и развивающиеся технологии. Компания организовала дискуссию, во время которой обсуждались этические принципы разработки и использования систем машинного обучения, а также технические и юридические аспекты.

В новом документе компания объясняет, как она обеспечивает надёжность систем, основанных на ML-алгоритмах, и призывает других участников отрасли присоединиться к диалогу и выработать общие этические принципы.

Компания использует алгоритмы машинного обучения в своих решениях уже около 20 лет. Сочетание их с человеческим опытом позволяет компании ежедневно обнаруживать и противодействовать множеству новых угроз, причём ML играет важную роль в автоматизации процесса обнаружения угроз и выявления аномалий, а также повышает точность распознавания вредоносных программ. Чтобы способствовать развитию инноваций, компания сформулировала этические принципы разработки и использования систем машинного обучения и открыто делится ими с представителями отрасли, чтобы придать импульс многостороннему диалогу, цель которого – выработать единые практики использования таких технологий в кибербезопасности для улучшения жизни людей.

По мнению компании, при разработке и использовании AI/ML должны учитываться следующие шесть принципов:

• прозрачность;
• безопасность;
• человеческий контроль;
• конфиденциальность;
• приверженность целям кибербезопасности;
• открытость к диалогу.

Принцип прозрачности означает твёрдое убеждение «Лаборатории Касперского» в том, что компании должны информировать своих клиентов об использовании технологий машинного обучения в своих продуктах и услугах. Компания соблюдает этот принцип, разрабатывая максимально, насколько это возможно, интерпретируемые системы ML и предоставляя заинтересованным сторонам информацию о том, как работают решения компании и каким образом в них используются технологии машинного обучения.

Принцип безопасности находит отражение в широком спектре мер, которые реализует «Лаборатория Касперского» для обеспечения качества своих систем машинного обучения. Среди них – аудит безопасности, специфичный для ML/AI, меры по минимизации зависимости от сторонних наборов данных в процессе обучения AI-решений, а также фокус на облачные технологии машинного обучения с необходимыми мерами защиты вместо моделей, устанавливаемых на машины клиентов.

Принцип человеческого контроля объясняется необходимостью проверять работу AI/ML-систем при анализе сложных угроз. Для обеспечения эффективной защиты «Лаборатория Касперского» стремится оставить человеческий контроль важнейшим элементом всех своих AI/ML-систем.

Поскольку большие данные играют важную роль в процессе обучения таких систем, компании, работающие с алгоритмами машинного обучения, должны учитывать право на цифровую приватность. «Лаборатория Касперского» применяет ряд технических и организационных мер для защиты данных и систем, чтобы обеспечить цифровую приватность пользователей.

Пятый этический принцип отражает стремление «Лаборатории Касперского» использовать AI/ML-инструменты исключительно в целях кибербезопасности. Сосредоточившись исключительно на защитных технологиях, компания следует своей миссии строить более безопасный мир и демонстрирует свою приверженность защите пользователей и их данных.

Шестой принцип касается открытости «Лаборатории Касперского» к диалогу со всеми заинтересованными сторонами с целью обмена передовым опытом в области этичного использования алгоритмов машинного обучения. Компания готова обсуждать эти темы, поскольку считает, что только сотрудничество позволяет преодолевать препятствия, стимулировать инновации и открывать новые горизонты.

«Машинное обучение может быть очень полезным для индустрии кибербезопасности, ещё больше повысить киберустойчивость общества. Однако, как и любая технология, находящаяся на ранней стадии своего развития, она несёт определённые риски. Мы рассказываем о своих этических принципах в области работы с технологиями машинного обучения и призываем к открытому диалогу в отрасли для выработки чётких рекомендаций, как сделать разработку таких решений этичной», – комментирует Антон Иванов, директор по исследованиям и разработке «Лаборатории Касперского».

Компания «F.A.C.C.T»

Мошенники предлагают оформить покупки с помощью вируса-шпиона

Компания обнаружила новую версию популярной мошеннической схемы «Мамонт», в которой используется фейковый магазин Google Play. Под предлогом оформления доставки товара скамеры просят жертву скачать и установить из фейкового магазина мобильное приложение сервиса объявлений, под которое замаскирован шпионский Android-троян. Вирус помогает злоумышленникам незаметно списать деньги со счета жертвы – средняя сумма хищения составляет 67 000 рублей.

В классической схеме «Мамонт» мошенники похищают деньги и данные банковских карт у жертв под предлогом оформления фейковой покупки и доставки товаров с популярных маркетплейсов, аренды недвижимости, совместных поездок. По данным на конец лета 2023 года, в России по схеме «Мамонт» работали 17 активных преступных групп.

В сентябре специалисты компании обнаружили новое мошенническое сообщество «Мамонта», которое использует Android-трояны в своих атаках. В новой схеме – и в этом ее главная опасность – злоумышленники не требуют ввода данных банковской карты на фишинговом сайте, а предлагают установить мобильное приложение сервиса объявлений с доставкой. Спрятанная в нем шпионская программа способна перехватывать вводимые данные банковской карты и входящие смс-коды для кражи денег со счетов клиентов российских банков.

Сама схема работает следующим образом: воркеры (участники сообщества, привлекающие жертв на скачивание вредоносного приложения) создают поддельные объявления о продаже товара в специальный Telegram-бот и на выходе получают ссылку на скачивание мобильного приложения – APK-файла.

Когда найден покупатель, и он готов оплатить товар, мошенники убеждают жертву продолжить разговор в мессенджере, чтобы ресурс с объявлениями не заблокировал сообщение со ссылкой на вредоносную программу, и скачать мобильное приложение, с помощью которого якобы уже можно оформить доставку. Вся легенда воркера строится на том, что он якобы является индивидуальным предпринимателем, и для покупки товара с доставкой, чаще всего это популярная электроника, одежда, обувь, его клиентам необходимо использовать специальную программу.

После перехода по ссылке жертве открывается поддельная страница Google Play, с которой надо скачать и установить мобильное приложение, довольно точно копирующее оформление и функционал реальных онлайн-площадок. Именно тут покупателю нужно оформить доставку. В момент оплаты мобильный троян перехватывает и отправляет участнику преступной группы – вбиверу – введенные данные банковской карты жертвы, а затем входящие sms с кодом подтверждения перевода для кражи денег со счета жертвы.

По данным компании, от действий мошенников в сентябре пострадали клиенты банков как в России, так и Белоруссии. За 10 дней в сентябре с помощью поддельных приложений злоумышленники смогли украсть по обновленной схеме «Мамонт» почти 3 000 000 рублей, сделав 76 списаний. Средний чек от одной жертвы составлял 67 000 рублей.

«Старые трюки рано или поздно перестают приносить желаемый доход скамерам, и тогда они придумывают новые сценарии, приманки, меняют механику, – объясняет Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F.A.C.C.T. – Мы видели, как мошенники использовали в схеме «Мамонт» сгенерированные Telegram-ботами фишинговые страницы, затем они стали заражать жертв стилерами, похищавшими логины-пароли. Сейчас одна из группировок начала использовать мобильные трояны. Часть пользователей может решить, что мобильные приложения, похожие на известные сервисы, будто бы из официального стора, вряд ли скрывают опасность – на это и делают ставку злоумышленники».

От подобных киберугроз бренды могут защитить себя и своих клиентов только используя автоматизированные решения, сочетающих анализ данных киберразведки и возможности машинного обучения.

Пользователям эксперты F.A.C.C.T. напоминают о необходимости соблюдать базовые правила цифровой грамотности:

• Не переносите общение из чатов известных сервисов объявлений в мессенджеры.
• Не переходите по ссылкам от незнакомых людей в мессенджерах или почте.
• Загружайте только официальные приложения, которые вы самостоятельно нашли в магазине мобильных приложений, либо на легитимном сайте сервиса.

Fake Date в твоем мобильном: замечены приложения с вирусом-шпионом для кражи денег у влюбленных

Компания обнаружила новую версию популярной мошеннической схемы Fake Date (с англ. – фейковое свидание). Теперь преступники пытаются украсть у жертвы деньги еще до покупки билетов в кино или театр под видом оплаты домашнего интернета или заказа такси, используя при этом фейковые мобильные приложения.

Осенью 2023 года в России по схеме Fake Date работали 6 мошеннических групп, нелегальный заработок только одной из них за 10 дней превысил 6,5 млн рублей.

Классическая схема Fake Date выглядит следующим образом: под видом привлекательной девушки мошенник знакомится с потенциальной жертвой в соцсетях или на сайте знакомств и предлагает провести романтический вечер в театре, на стендап-шоу, в антикино, кальянной или заказать доставку ужина. Жертва получает ссылку на фишинговый сайт, оплачивает «билеты», а деньги и данные карты похищаются злоумышленниками. Бывает, что деньги списываются дважды или трижды – при покупке билета для «подруги» или оформлении «возврата».

После того, как об этой схеме стало довольно подробно известно, мошенники решили изменить механику. Теперь они похищают деньги намного раньше похода на первое свидание, а вместо фишинговых ресурсов уже используют мобильные приложение с внедренной шпионской программой.

После того, как между молодыми людьми уже возник интерес и доверие, «девушка» может внезапно исчезнуть из переписки или ее откровенные фото и видео будут очень долго загружаться. Выясняется, что у красотки возникли проблемы с оплатой домашнего интернета и внести небольшую сумму придется именно новому кавалеру.

Девушка скидывает ссылку на фейковый сайт сервиса, с которого нужно загрузить мобильное приложение. Спрятанная в нем шпионская программа способна перехватывать вводимые данные банковской карты и входящие смс-коды для кражи денег со счетов клиентов российских банков. Аналогичным образом действует схема с заказом такси, о чем также барышня может попросить своего нового знакомого.

По данным на сентябрь 2023 года, в России по схеме Fake Date работали 6 активных мошеннических групп. Действуя по схеме с фейковыми свиданиями только одно преступное сообщество за 10 дней смогло получить более 6,5 миллионов рублей за 721 операцию. Средняя сумма похищенного у одной жертвы составила около 9 000 рублей, при том, что у одной жертвы могло быть несколько списаний подряд. Для сравнения в начале 2023 года 7 наиболее активных в России группировок заработали на желающих пойти на свидание 5 миллионов рублей (в период с 12 по 14 февраля, 21-23 февраля и 6-8 марта).

«В России классическая мошенническая схема Fake Date появилась еще в 2018 году. А после пандемии, с появлением новых инструментов для генерации фишинговых сайтов и использования переводов card-to-card, она переживает «второе рождение», – отмечает Евгений Егоров, ведущий аналитик Digital Risk Protection компании. – Сейчас некоторые группы мошенников зарабатывают на Fake Date в два раза больше, чем те, кто работает по классической схеме «Мамонт» с оплатой товара. Это может быть связано с тем, что на данный момент в схеме со свиданиями используется уже больше брендов (интернет-операторы, такси, театры, кино) для сценариев атак, нежели чем через продажу несуществующих товаров на досках объявлений – там используются только бренды двух популярных сервисов».

Вся «техподдержка» Fake Date по-прежнему осуществляется через Telegram: здесь воркеры (участники сообщества, привлекающие жертв на скачивание вредоносного приложения) получают ссылку на скачивание мобильного приложения – APK-файла, ведут свою теневую online-бухгалтерию, покупают чат-ботов или «голосовушки» – заранее записанные аудио и видеосообщения от лица девушек.

От подобных продвинутых киберугроз бренды могут защитить себя и своих клиентов только используя автоматизированные решения, сочетающих анализ данных киберразведки и возможности машинного обучения.

Пользователям эксперты F.A.C.C.T. напоминают о необходимости соблюдать базовые правила цифровой грамотности:

• Не переносите общение из чатов сервисов объявлений в мессенджеры.
• Не переходите по ссылкам от незнакомых людей в мессенджерах или почте.
• Загружайте только официальные приложения, которые вы самостоятельно нашли в магазине мобильных приложений, либо на легитимном сайте сервиса.

Количество кибердиверсий в России в 2023 году выросло на 140%

Лаборатория цифровой криминалистики компании исследовала высокотехнологичные преступления 2023 года на основе проведенных реагирований на инциденты в российских компаниях.

Количество атак программ-вымогателей за 9 месяцев 2023 года выросло на 75% по сравнению с аналогичным периодом прошлого года, а средняя сумма первоначального выкупа за расшифровку данных превысила 37 млн рублей. Еще стремительнее росло количество политически мотивированных кибератак, целью которых было хищение конфиденциальных данных или полное разрушение ИТ-инфраструктуры – рост к прошлому году составил 140%.

Самым популярным типом киберугроз, с которыми столкнулись во время реагирований на инциденты криминалисты компании, стали атаки с использованием программ-вымогателей. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные, строительные, туристические и страховые компании. Среднее время простоя атакованной компании составило 14–18 дней.

Два в одном

Наиболее агрессивными преступными группами в России в этом году оказались Shadow и Twelve. Несмотря на то, что на радарах у исследователей они возникли лишь в начале этого года, хакеры успели отметиться серией громких атак. Вымогатели из Shadow похищают и шифруют данные, требуя от жертвы крупный выкуп – обычно в размере 5–10% от годового дохода компании – за расшифровку и не публикацию похищенной конфиденциальной информации.

Twelve же, напротив, работают не за деньги: сначала злоумышленники похищают конфиденциальные данные жертвы, а на финальном этапе атаки уничтожают ИТ-инфраструктуру, стирая и шифруя данные без возможности их восстановления. Именно эта группа весной 2023 года взяла на себя ответственность за атаку на федеральную таможенную службу РФ, а в мае – на российского производителя гидравлического оборудования и др.

После публикации исследования экспертов компании о том, что Shadow и Twelve – это одна хак-группа с общими инструментами, техниками, а в нескольких атаках – и с общей сетевой инфраструктурой, вымогатели из Shadow провели ребрендинг и стали использовать в своих атаках новое название – Comet (C0met).

В целом, в России средняя сумма первоначального выкупа, которую требуют вымогатели у жертвы, в этому году составила 37 млн рублей. Рекорд установили вымогатели из группы Shadow, потребовавшие за расшифровку данных 200 млн рублей. Правда, это в пять раз меньше, чем в 2022 году просили вымогатели OldGremlin у одной из жертвы – тогда сумма выкупа достигала 1 млрд рублей.

Наиболее распространенными шифровальщиками, которые преступники используют для атак на российские компании, стали LockBit, Conti и Babuk – причина в появлении в публичном пространстве их исходных кодов.

Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, в 2023 году, стала компрометация служб удаленного доступа, в особенности RDP и VPN. Наряду с этим отмечается и рост атак с доступом в инфраструктуру в результате компрометации ИТ-партнеров, услугами которых пользовались организации-жертвы. Напомним, что в 2022 году основными векторами атак для большинства банд вымогателей являлись эксплуатация уязвимостей публично доступных приложений и фишинг.

Каскадные атаки

Более активно, чем с киберкриминал, российские компании атаковали прогосударственные хакеры и хактивисты – рост количества атак по сравнению с предыдущим годом составил рекордные 140%. Целями политически-мотивированных атакующих чаще других становились предприятия, связанные с критической инфраструктурой, госсектором или оборонной промышленностью. Наряду с гигантами в группе риска оказались ИТ-компании из сегмента малого и среднего бизнеса – интернет-ритейлеры, интеграторы, разработчики ПО, атаки на которых позволяют атакующим получить доступ не только к клиентским базам данных, но и аутентификационным данным к инфраструктуре заказчиков, более крупных игроков рынка.

Напомним, что за первую половину 2023 г. F.A.C.C.T. зафиксировала 114 утечек из российских коммерческих компаний и госорганизаций, число утекших строк пользовательских данных по сравнению с предыдущим периодом 2022 года выросло более чем в 11 раз – до 62,1 млн. Большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно, но часть утечек злоумышленники не публиковали в открытом доступе – продавали или использовали в последующих атаках.

«Уже четвертый год подряд программы-вымогатели остаются одной из главных киберугроз, с которой имеют дело российские компании, – замечает Антон Величко, руководитель Лаборатории цифровой криминалистики компании – Начиная с прошлого года у киберпреступников заметно изменился мотив – не столько заработать, сколько нанести наибольший ущерб компаниям и их клиентам. В текущем году рост подобных атак был особенно заметным. Утекшие данные, атакующие сразу не публикуют, а используют для проведения каскадных атак на крупных игроков как коммерческого, так и государственного секторов».

Для того, чтобы эффективно организационно и технически противостоять действиям атакующих и минимизировать ущерб для компании – необходимо или оперативно привлекать специалистов на аутсорсе, или, что проще, заранее иметь подписку на ритейнер по реагированиям на инциденты.

Компания «Газинформсервис»

«Мир» подвергся кибератаке

Хакерская группировка DumpForums атаковала сайт Национальной системы платежных карт (НСПК), оператора платежной системы «Мир». В НСПК отметили, что атака была совершена на веб-ресурс, разработанный и поддерживаемый сторонним подрядчиком, и он не связан с платежной инфраструктурой. Представители НСПК утверждают, что все операции по банковским картам и система быстрых платежей продолжаются нормально, и утечки конфиденциальных данных не произошло.

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников прокомментировал ситуацию:

– Взлом сайта платежной системы «Мир» в очередной раз говорит о том, что необходимо тщательно защищать ресурсы, выставленные в сеть Интернет. При этом, совершенно не важно, что хранится и обрабатывается на интернет-сайте. Крупные компании становятся целями для профессиональных киберпреступников, небольшие сайты после взлома активно используются для конструирования фишинговых атак.

Платежные системы не владеют персональными данными клиентов, они осуществляют только обслуживание проведения платежей со счета на счет, без привязки к конкретному пользователю. Держатели карт могут вздохнуть с облегчением, а всем владельцам веб-сайтов рекомендуется озаботиться непрерывной защитой своих ресурсов, в особенности, если из сети Интернет есть доступ к внутренним частям ИТ-инфраструктуры.

В России появится бесплатный суперантивирус

В России разрабатывают «Мультисканер» – национальную систему информационной безопасности. Киберэксперт Овчинников уверен, что от появления «Мультисканера» выиграют все участники рынка и повысится общий уровень защищенности всей ИТ-инфраструктуры в стране.

Макет «Мультисканера» запустят до конца текущего года. В 2024-м году планируется дополнить систему новыми функциями, а после 2025 года она заработает в полную силу.

В Минцифры отметили, что «Мультисканер» – это не просто антивирус, а комплексное решение, сочетающее аппаратную и программную части. Систему планируется интегрировать с Госуслугами, чтобы обеспечить защиту данных портала. Кроме того, использование «Мультисканера» будет бесплатным.

Дмитрий Овчинников считает, что «важно помнить, что множество качественных коммерческих продуктов, выросли именно из бесплатных или условно-бесплатных программ. Если вспомнить историю некоторых успешных компаний, то они выросли в гигантских монстров ИТ-индустрии при помощи государственных контрактов или наличия социально-значимых проектов. Поэтому, появление «Мультисканера» вызовет оживление на Российском рынке антивирусных решений, подстегнет конкурентов к более широкому распространению своих бесплатных версий и улучшению их функционала. От этого, выиграют все участники рынка, как компании, так и рядовые граждане, а кроме того, это повысит общий уровень защищенности всей ИТ-инфраструктуры в стране.

Данные платных клиентов CCleaner утекли

Разработчики CCleaner, популярного софта для оптимизации, подтвердили, что в ходе майского киберинцидента злоумышленники похитили персональные данные платных пользователей. Информация об инциденте изложена в официальном письме корпорации Gen Digital.

По словам представителей Gen Digital, владеющей брендами CCleaner, Avast, NortonLifeLock и Avira, атакующие задействовали эксплойт для уязвимости в софте MOVEit, предназначенном для передачи файлов. В компании сказали, что киберпреступники смогли похитить имена, контактную информацию и сведения о приобретенных продуктах.

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин:

– В мире, где утечки данных неизбежны, минимизация потерь – это не самый плохой результат. Также, положительный момент здесь в том, что компания честно рассказывает, как обстоят дела, а не скрывается или отмалчивается. Во-вторых, мы видим подтверждение, что компания не хранит очень чувствительную информацию у себя на серверах, поэтому даже крупная утечка не будет катастрофой.

Мошенники придумали новую схему со страхованием

В России появился новый способ обмана. Злоумышленники начали использовать систему финансовых и не финансовых событий Тинькофф «Защитим или вернем деньги» под видом услуги ВТБ на сайте 88001002424.рф.

В частности, мошенники предлагают услугу «Страхование смартфона – защита экрана и средств мобильного телефона в банке ВТБ». При её подключении мошенники получают полный доступ к данным смартфона, а пользователи теряют свои средства и информацию.

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников комментирует ситуацию:

– В последние время, многие банки и финансовые организации стали уделять повышенное внимание к открытию сервисов по обеспечению безопасности своих клиентов. Это связано с усилением конкуренции за клиента, а также инициативами регуляторов в плане защиты данных клиентов. Именно этот факт и стал «крючком» мошенников, на который они решили «поймать» потенциальных жертв. Мошенники организовали поддельный сайт и применяя методы социальной инженерии стали устанавливать шпионское ПО на смартфоны жертв.

Чтобы избежать обмана, необходимо устанавливать ПО только с официального сайта банка или финансовой организации. Помните о том, что мошенники могут за 10 минут сделать фишинговый сайт, который будет сложно отличить от оригинального. Также не рекомендую переходить по ссылкам от незнакомых людей, а всю информацию необходимо проверять на официальных ресурсах финансовых учреждений.

15% сотрудников российских компаний открыли фишинговые письма

Российские компании уязвимы к фишинговым письмам из-за излишней доверчивости сотрудников. Эксперимент с неутешительными результатами провел Национальный координационный центр (НКЦКИ).

В ходе проведения эксперимента, письма отправляли представителям крупных организаций с распределенной ИТ-инфраструктурой. Заместитель директора центра по компьютерным инцидентам Петр Белов на пленарном заседании форума «ПРОФ-IT» заявил, что в ходе эксперимента с рассылкой фишинговых писем до 15% сотрудников компаний открыли отправленные сообщения.

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рассказал, что помогает сократить количество открытых фишинговых писем сотрудниками.

«Мы, в «Газинформсервисе», довольно часто проводим подобные тестовые фишинговые рассылки у своих заказчиков и, как говорит наша статистика, процент открытых писем абсолютно не зависит от размера компании или сферы ее деятельности. Здесь главными вопросами являются – какое внимание уделяется вопросам информационной безопасности в компании и проводится ли обучение сотрудников. Самые типовые кейсы фишинга разбираются на первых стадиях обучения – на курсах по основам ИБ и уже это, по нашему опыту, заметно снижает процент открытых фишинговых писем», – сказал Полунин.

Российские компании атакуются через социальные сети сотрудников

Мошенники атакуют российские компании с помощью данных, которые сотрудники выкладывают в соцсети. Киберэксперт Полунин рекомендует не публиковать в социальных сетях чувствительную информацию о корпоративной жизни в коллективе, чтобы не нанести финансовый вред своей организации.

Злоумышленники выбирают своей целью крупную компанию с солидным бюджетом, далее – они изучают профиль организации, например, ФИО тех, кто там работает и как с ними связаться. Часто, получив первые вводные данные, злоумышленники отправляются в социальные сети, на личные странички сотрудников организаций и «добирают» информацию там.

Излишняя активность в соцсетях, например, фото с корпоративов, совместного отдыха с коллегами – помогает аферистам получать «нужную» информацию, чтобы потом манипулировать ими и выстраивать схемы обмана.

Сергей Полунин рекомендует фильтровать информацию для публикации в социальных сетях, а компаниям проводить тренинги по цифровой гигиене среди сотрудников.

«Информация из социальных сетей – идеальная база для построения фишинговой атаки. Нет никакой нужды взламывать аккаунты людей в поисках информации, если потенциальные жертвы фишинга, по сути, делятся ею сами. Имея на руках сведения об интересах и предпочтениях человека можно создать эффективную фишинговую кампанию, и через сотрудника нанести вред организации, в которой он трудится.

В России выявлено 600 нарушений информбезопасности на объектах критической инфраструктуры

В 2023 году Федеральная служба по технологическому и экспортному контролю (ФСТЭК) провела проверки информбезопасности на 900 субъектах критической инфраструктуры и выявила около 600 нарушений, сообщил замначальника отдела управления ФСТЭК России Павел Зенкин.

С организационной точки зрения речь идет о том, что субъект «не знает свои объекты критической информационной инфраструктуры, которые у него имеются, не знает их архитектуры».

При этом, сказал Зенкин, с февраля 2022 года ФСТЭК России направила в адрес субъектов критической инфраструктуры 160 обращений по поводу принятия мер по повышению информбезопасности.  

Ключевые слова: дипфейки, киберугрозы, фишинг, зловреды, социальная инженерия, хакеры, хищения данных

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи