Хакеры от имени «Ашана» и «Магнита» провели атаку с помощью «умных» устройств

Хакеры атаковали более 50 крупных российских компаний, выдавая себя за представителей известных брендов, в том числе розничных сетей, строительных и нефтяных компаний. Об этом в разговоре с РБК рассказал Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC компании Ростелеком-Solar.

Если зачастую для атак используются обычные серверы, то в этом случае хакеры работали со взломанными IoT-устройствами (интернет вещей, — прим. КД). Хакеры маскировались под известные бренды и использовали, например, роутеры, расположенные в странах Азии, Латинской Америки и Европы.

Отследить взломанное IoT-устройство, с которого произведена атака, намного сложнее, чем сервер. Такая ниша гораздо выгоднее и проще для хакеров:

Атака с использованием взломанных IoT-устройств менее трудозатратна, менее сложна и более безопасна для злоумышленника. Найти и использовать незащищенные устройства проще и выгоднее: если арендуется облачный сервис, он может быть внесен в специальный стоп-лист IP-адресов, с которых идут спамерские рассылки. В случае с IoT таких адресов миллионы, они быстро меняются, и вести какой-либо их реестр исключительно сложно, — объяснил директор экспертного центра безопаcности Positive Technologies Алексей Новиков.

Хакеры действовали по традиционной схеме: по будням в рабочие часы отсылали компаниям письма, с помощью которых происходило заражение инфраструктуры шифровальщиком Shade/Troldesh:

Shade/Troldesh является вредоносной программой, которая кодирует файлы на устройстве пользователя и требует у него плату за доступ к ним.

Отмечается, что хакеры отсылали фишинговые письма от имени известных брендов, среди которых «Ашан», «Магнит», «Славнефть» и ГК «ПИК». Владимир Дрюков заявил, что атаки на российские компании начались ещё в ноябре 2018 года, однако их пик пришёлся на февраль текущего года, — эту информацию подтвердили представители Group-IB и Positive Technologie:

Первым, кем на этот раз прикинулся шифровальщик, стал Газпромбанк, рассылки шли якобы от менеджеров этого банка. Спустя две недели злоумышленники «переоделись» в менеджеров банка «Открытие», в декабре — Бинбанка. Естественно, все эти компании никакого отношения не имеют к рассылке, — объясняет Дрюков.

Собеседник РБК также отметил смену брендов при рассылке: уже в феврале 2019 года хакеры начали отсылать от имени «Дикси», Metro Cash & Carry и Philip Morris. Алексей Новиков подчеркнул, что всё это время фишинговые рассылки были массовыми и не были специализированы под какую-либо конкретную отрасль, тип организаций или получателя.

На текущий момент размер нанесённого ущерба российским компаниям неизвестен. Напомним, ранее эксперты-криминалисты Group-IB выяснили, что 74% атакованных в 2018 году банков не были готовы к хакерским атакам из-за того, что не способны в сжатые сроки провести централизованную единоразовую смену всех паролей в случае атаки, а сами хакеры с каждым днём увеличивают скорость обналичивания очень внушительных сумм.