Тушите свет: российские энергетические компании атакует новый шпионский троянец
В сентябре эксперты «Лаборатории Касперского» зафиксировали атаки на российские компании с использованием нового троянца Unicorn, направленные на кражу конфиденциальных данных. Атакам подверглись российские энергетические компании, заводы, поставщики и разработчики электронных компонентов. Шпионское ПО распространяется через вредоносные рассылки в электронной почте. В отличие от других подобных атак зловред не самоудаляется сразу после кражи информации, а продолжает похищать новые и изменившиеся файлы, пока его не обнаружат. Об этом CNews сообщили представители «Лаборатории Касперского».
Как происходит заражение. Вредоносное ПО распространяется через почтовые вложения или файлы на «Яндекс.Диске», на которые ведёт ссылка из письма. Это RAR-архив с документом, имеющим двойное расширение: pdf и lnk (ярлык). Вредоносный ярлык содержит командную строку на скачивание и запуск файла, замаскированного под PDF, который на самом деле относится к типу HTML Application. После его запуска выполняется вредоносный VBS-скрипт, создающий на диске два скрипта — update.vbs и upgrade.vbs. Также он генерирует ключи для их автозапуска в реестре и дополнительные ключи, где в зашифрованном виде содержится вредоносный код.
При запуске скрипта update.vbs создается папка, в которую он копирует нужные файлы из домашнего каталога пользователя. В частности, его интересуют файлы не менее 50 Мб с расширениями: txt, pdf, doc, docx, xls, xlsx, png, rtf, jpg, zip, rar. Второй скрипт, upgrade.vbs, отправляет на сайт злоумышленников похищенные данные с помощью расшифрованного кода из реестра. Информацию о скопированных файлах, дате их последнего изменения, а также об уже переданных документах скрипты сохраняют в текстовые файлы и постоянно сверяются с ними, чтобы не повторяться.
«Особенность этих атак заключается в том, что после кражи данных вредоносные скрипты остаются в системе. В отличие от других подобных зловредов, вместо того чтобы один раз украсть данные и замести следы, вредоносное ПО продолжает передавать злоумышленникам новые или обновленные файлы, пока его не обнаружат и не примут меры, что потенциально увеличивает масштаб возможных потерь», — сказал Олег Купреев, эксперт «Лаборатории Касперского» по кибербезопасности.
Чтобы защитить организацию от данной угрозы, «Лаборатория Касперского» рекомендует: регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»; установить надёжное защитное решение, которое автоматически будет отправлять подозрительные письма в спам, например Kaspersky Secure Mail Gateway; использовать продукты кибербезопасности, эффективность которых подтверждается независимыми тестовыми лабораториями; регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать известные уязвимости; использовать сложные и уникальные пароли для защиты корпоративных учётных записей и регулярно их обновлять. Для их создания и хранения рекомендуется использовать специализированные менеджеры паролей; предоставлять ИБ-специалистам возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence.