РБК: хакеры атаковали более 50 российских компаний с помощью «умных» вещей
undefinedБолее 50 крупных российских компаний в феврале подверглись атаке хакеров, которые маскировались под менеджеров известных брендов, рассказал РБК представитель «Ростелеком-Solar» (специализируется на вопросах кибербезопасности). Факт атаки изданию подтвердили представители Group-IB и Positive Technologie.
Злоумышленники использовали для атаки письма с вредоносным содержанием (фишинг), которые приходили по будням в рабочие часы. Содержащийся в письмах вирус-шифровальщик Shade/Troldesh кодировал файлы на устройствах пользователей и требовал у них плату за доступ к ним. Интенсивность этой фишинг-рассылки в несколько раз выше, чем обычно, отметил Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Solar». По его словам, атака затронула около 50 крупнейших компаний России, сотрудники которых получали в день по 10-50 писем. Эксперты Group-IB фиксировали до 2000 рассылок в день.
Какие именно компании получали письма и размер нанесенного им ущерба, собеседники РБК назвать отказались. Рассылка делалась, в частности, от имени «Ашана», «Магнита», «Славнефти» и ГК «ПИК».
Источник издания на рынке кибербезопасности утверждает, что список компаний, которые подверглись атаке может быть гораздо длиннее. По его словам, письма с вредоносным ПО начали приходить еще в ноябре прошлого года, но пик пришелся на февраль. Сначала злоумышленники рассылали письма от имени Газпромбанка, рассказал собеседник издания, затем они притворялись менеджерами банка «Открытие» и Бинбанка. В феврале, по словам источника, в качестве прикрытия использовались бренды «Дикси», Metro Cash & Carry и Philip Morris.
Сама по себе фишинг-рассылка не является новой разновидностью атаки, отмечает один из собеседников РБК. Однако массовая маскировка под бренды популярных розничных сетей, по его словам, встречается впервые. К тому же, в письмах очень точно скопирован стиль компаний, отмечает он. «Обычно фишинговые письма легко вычислить, так как в них много орфографических и грамматических ошибок. Но в этот раз хакеры устроили качественную атаку», — говорит собеседник издания.
Кроме того, особенностью новой волны атак стало использование «умных» устройств, например, роутеров, расположенных в странах Азии, Латинской Америки, Европы, отмечают специалисты «Ростелеком-Solar». Раньше для таких целей злоумышленники использовали обычные серверы. «Обычно устройства интернета вещей используются для DDoS-атак. Рассылка фишинговых писем с роутеров — пока экзотика», — отметил Владимир Дрюков. Он добавил, что отследить взломанное сетевое устройство, с которого произведена атака, намного сложнее, чем сервер.