«Лаборатория Касперского» обнаружила новую схему атак на крупные организации в России. Сотрудникам компаний на корпоративную почту приходят письма якобы от правоохранительных органов с уведомлением о необходимости провести техническое исследование их автоматизированного рабочего места (АРМ) в связи с предполагаемым инцидентом информационной безопасности. На самом деле цель злоумышленников — убедить человека запустить вредоносную программу. Об этом CNews сообщили представители «Лаборатории Касперского».
В чем суть схемы. Пользователь получает письмо с одним или несколькими PDF-документами. В них может быть якобы «уведомление об инциденте информационной безопасности» или «постановление о проведении доследственной проверки по факту незаконной передачи данных». При этом жертву просят не допускать разглашения информации о проверке иным лицам.
В одном из сценариев пользователю предлагается заполнить анкету с большим количеством вопросов — в том числе о рабочем устройстве сотрудника, его действиях в определённые даты и возможных сбоях в работе компьютера. Также атакуемого просят указать личные данные и сообщить, использовались ли на устройстве программы удаленного управления или средства обхода блокировок.
В письме может содержаться ещё один PDF-файл — заявление, подписав которое человек якобы добровольно соглашается на «техническое исследование» используемого им рабочего компьютера.
После заполнения документов человеку направляют ещё одно письмо — с программой, которую требуется запустить якобы для проведения технического исследования. На самом деле это троянец. После попадания в корпоративную сеть злоумышленник производит разведку устройств в сети организации с целью шифрования инфраструктуры компании и требования выкупа.
Высылаемые документы содержат профессиональную терминологию и большое количество деталей, характерных для официального документооборота: ссылки на законодательство, регистрационные номера, даты, подписи и визуальные элементы вроде герба. Всё это делает атаку особенно убедительной для сотрудников компаний, которые не сталкивались с подобными процедурами.
«Раньше сценарии, в которых злоумышленники действуют под видом представителей правоохранительных органов, были характерны больше для телефонного мошенничества и нацелены в основном на частных пользователей. Теперь мы видим, что подобные методы начинают использовать и в атаках на организации. Новые вредоносные рассылки мимикрируют под процедуру реагирования на инциденты информационной безопасности с исследованием рабочего устройства сотрудника. В результате человек может проигнорировать внутренние правила безопасности и не сообщить о происходящем в свой отдел по информационной безопасности, поскольку уже воспринимает ситуацию как официальные действия со стороны правоохранительных органов», — сказал Сергей Голованов, главный эксперт «Лаборатории Касперского».
Эксперты рекомендуют сотрудникам не открывать вложения и не запускать программы из писем, связанных с «проверками», «расследованиями» или другими срочными запросами от неизвестных отправителей, а также обязательно перепроверять подобные обращения через внутренние службы безопасности компании.
Поделиться
