Хакеры атаковали более 50 крупных российских компаний, выдавая себя за представителей известных брендов, в том числе розничных сетей, строительных и нефтяных компаний. Об этом в разговоре с РБК рассказал Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC компании Ростелеком-Solar.
Если зачастую для атак используются обычные серверы, то в этом случае хакеры работали со взломаннымиIoT-устройствами(интернет вещей, — прим. КД). Хакеры маскировались под известные бренды и использовали, например, роутеры, расположенные в странах Азии, Латинской Америки и Европы.
Отследить взломанное IoT-устройство, с которого произведена атака, намного сложнее, чем сервер. Такая ниша гораздо выгоднее и проще для хакеров:
Атака с использованием взломанных IoT-устройств менее трудозатратна, менее сложна и более безопасна для злоумышленника. Найти и использовать незащищенные устройства проще и выгоднее: если арендуется облачный сервис, он может быть внесен в специальный стоп-лист IP-адресов, с которых идут спамерские рассылки. В случае с IoT таких адресов миллионы, они быстро меняются, и вести какой-либо их реестр исключительно сложно, — объяснил директор экспертного центра безопаcности Positive Technologies Алексей Новиков.
Хакеры действовали по традиционной схеме: по будням в рабочие часы отсылали компаниям письма, с помощью которых происходило заражение инфраструктуры шифровальщиком Shade/Troldesh:
Shade/Troldesh является вредоносной программой, которая кодирует файлы на устройстве пользователя и требует у него плату за доступ к ним.
Отмечается, что хакеры отсылали фишинговые письма от имени известных брендов, среди которых «Ашан», «Магнит», «Славнефть» и ГК «ПИК». Владимир Дрюков заявил, что атаки на российские компании начались ещё в ноябре 2018 года, однако их пик пришёлся на февраль текущего года, — эту информацию подтвердили представители Group-IB и Positive Technologie:
Первым, кем на этот раз прикинулся шифровальщик, стал Газпромбанк, рассылки шли якобы от менеджеров этого банка. Спустя две недели злоумышленники «переоделись» в менеджеров банка «Открытие», в декабре — Бинбанка. Естественно, все эти компании никакого отношения не имеют к рассылке, — объясняет Дрюков.
Собеседник РБК также отметил смену брендов при рассылке: уже в феврале 2019 года хакеры начали отсылать от имени «Дикси», Metro Cash & Carry и Philip Morris. Алексей Новиков подчеркнул, что всё это время фишинговые рассылки были массовыми и не были специализированы под какую-либо конкретную отрасль, тип организаций или получателя.
На текущий момент размер нанесённого ущерба российским компаниям неизвестен. Напомним, ранее эксперты-криминалисты Group-IB выяснили, что 74% атакованных в 2018 году банков не были готовы к хакерским атакам из-за того, что не способны в сжатые сроки провести централизованную единоразовую смену всех паролей в случае атаки, а сами хакеры с каждым днём увеличивают скорость обналичивания очень внушительных сумм.
