РБК: хакеры атаковали более 50 российских компаний с помощью «умных» вещей

Более 50 крупных российских компаний в феврале подверглись атаке хакеров, которые маскировались под менеджеров известных брендов, рассказал РБК представитель «Ростелеком-Solar» (специализируется на вопросах кибербезопасности). Факт атаки изданию подтвердили представители Group-IB и Positive Technologie.

Злоумышленники использовали для атаки письма с вредоносным содержанием (фишинг), которые приходили по будням в рабочие часы. Содержащийся в письмах вирус-шифровальщик Shade/Troldesh кодировал файлы на устройствах пользователей и требовал у них плату за доступ к ним. Интенсивность этой фишинг-рассылки в несколько раз выше, чем обычно, отметил Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Solar». По его словам, атака затронула около 50 крупнейших компаний России, сотрудники которых получали в день по 10-50 писем. Эксперты Group-IB фиксировали до 2000 рассылок в день.

Какие именно компании получали письма и размер нанесенного им ущерба, собеседники РБК назвать отказались. Рассылка делалась, в частности, от имени «Ашана», «Магнита», «Славнефти» и ГК «ПИК».

Источник издания на рынке кибербезопасности утверждает, что список компаний, которые подверглись атаке может быть гораздо длиннее. По его словам, письма с вредоносным ПО начали приходить еще в ноябре прошлого года, но пик пришелся на февраль. Сначала злоумышленники рассылали письма от имени Газпромбанка, рассказал собеседник издания, затем они притворялись менеджерами банка «Открытие» и Бинбанка. В феврале, по словам источника, в качестве прикрытия использовались бренды «Дикси», Metro Cash & Carry и Philip Morris.

Представитель «Дикси» подтвердил РБК информацию. «Действительно, некоторое время назад мы получили большое количество жалоб от наших деловых партнеров на подозрительные электронные письма, которые приходили якобы от нашей компании», — сказал он.

Сама по себе фишинг-рассылка не является новой разновидностью атаки, отмечает один из собеседников РБК. Однако массовая маскировка под бренды популярных розничных сетей, по его словам, встречается впервые. К тому же, в письмах очень точно скопирован стиль компаний, отмечает он. «Обычно фишинговые письма легко вычислить, так как в них много орфографических и грамматических ошибок. Но в этот раз хакеры устроили качественную атаку», — говорит собеседник издания.

Кроме того, особенностью новой волны атак стало использование «умных» устройств, например, роутеров, расположенных в странах Азии, Латинской Америки, Европы, отмечают специалисты «Ростелеком-Solar». Раньше для таких целей злоумышленники использовали обычные серверы. «Обычно устройства интернета вещей используются для DDoS-атак. Рассылка фишинговых писем с роутеров — пока экзотика», — отметил Владимир Дрюков. Он добавил, что отследить взломанное сетевое устройство, с которого произведена атака, намного сложнее, чем сервер.