МОСКВА, 18 фев — ПРАЙМ. Специалисты центра расследования киберинцидентов JSOC CERT (принадлежит компании "Ростелеком-Солар") зафиксировали резкий рост редкого типа атак на банки РФ и энергетическую отрасль страны. Об этом JSOC CERT сообщает во вторник.
Поясняется, что цепочка вредоносной активности включает четыре этапа. Это дает хакерам получить контроль в инфраструктуре организации, при этом оставаясь незаметными для средств защиты.
Многокомпонентная атака начинается с фишинговой рассылки офисных документов сотрудникам банков и энергетических компаний. Сообщения рассылаются от имени других отраслевых организаций.
"При открытии вложения из него извлекается и запускается исполняемый файл, который обращается к популярному хостингу открытого кода pastebin.com. Оттуда запускается участок кода, который, в свою очередь, отправляет команду о скачивании на атакуемый компьютер картинки с сервиса по обмену изображениями imgur.com … В изображение, загружаемое с imgur.com, встроено вредоносное ПО, позволяющее хакерам собрать и отправить на свои серверы полную информацию о жертве", — сообщает компания.
Если полученные данные заинтересуют злоумышленников, то они могут начать загрузку вирусов для кражи документов и коммерческого кибершпионажа (в случае с энергетическими компаниями), либо начать вывод денежных средств (если речь идет о банках).
Хакеры также могут монетизировать свои действия, продавая сами точки присутствия в инфраструктуре организаций.
По статистике "Ростелеком-Солар", около 80% таких атак было направлено на банки. В оставшихся 20% случаев, которые пришлись на энергетику, хакеры действовали более активно: специалистам из этой отрасли было отправлено порядка 60% от общего числа фишинговых писем. Качество рассылок также говорит о более тщательной подготовке со стороны злоумышленников.
По словам руководителя центра JSOC CERT компании "Ростелеком-Солар" Игоря Залевского, стилистика таких атак похожа на поведение хакерской группировки Silence, которая до недавнего времени специализировалась исключительно на банках. "То есть либо Silence осваивает новые отрасли и способы зарабатывания денег, либо появилась новая, очень профессиональная группировка, которая удачно имитирует код Silence", — прокомментировал он.
JSOC CERT отмечает, что такой механизм доставки вредоносного ПО до конечной точки встречается крайне редко и обычно свидетельствует о целенаправленной атаке. Автоматизированные средства защиты — антивирусы и песочницы — не могут обнаруживать подобные инциденты, т.к. рассчитаны на выявление атак из одного – максимум двух этапов.
Эксперты компании советуют в этих условиях службам безопасности бизнеса особенно внимательно подойти к вопросу повышения киберграмотности сотрудников.