Хакеры переходят на российское ПО
Отказ российских компаний от иностранного ПО заставил хакеров тоже задуматься об импортозамещении и начать использовать российские программы для атак
Фишинговая атака
Хакеры впервые использовали отечественную программу удаленного доступа для атаки на российские компании. Эксперты управления киберразведки BI.Zone зафиксировали такую атаку группировки Quartz Wolf на гостиничный бизнес. Злоумышленники задействовали программу, которую в собственных целях используют различные компании. Об этом CNews сообщили представители BI.Zone.
Хакеры рассылают фишинговые электронные письма от лица компании «Федеральный гостиничный сервис». Это система для электронной передачи гостиницами в МВД данных о постановке и снятии с миграционного учета, а также сведений по регистрационному учету. В сообщениях атакующие якобы уведомляют о вступивших в силу изменениях в процедуре регистрации, с которыми необходимо срочно ознакомиться по приложенной ссылке. Если открыть эту ссылку, запускается вредоносный файл и устанавливается российское решение для удаленного доступа «Ассистент», продукт воронежской ИТ-компании «Сафиб». Удаленный доступ позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. д. Это открывает широкие возможности злоумышленникам — от кражи учетных данных для входа в бизнес-системы, передачи данных клиентов на сторонний сервер до совершения операций в банковском ПО от имени жертвы.
Импортозамещение у хакеров
Злоумышленники часто применяют иностранные инструменты удаленного доступа, чтобы закрепиться в инфраструктуре взломанной компании. Самые популярные программы для этого — TeamViewer, AnyDesk и AmmyAdmin. Сейчас многие российские организации переходят на отечественное ПО и для них стало возможным блокировать зарубежный софт, который могут использовать злоумышленники. Поэтому хакеры тоже адаптировала атаки и начали использует отечественные решения для удаленного доступа, чтобы обойти традиционные средства защиты.
«Использование легитимных средств позволяет атакующим оставаться незамеченными в скомпрометированной сети продолжительное время, особенно если такое ПО уже используется организацией. На примере Quartz Wolf мы видим, что злоумышленники следят за трендами импортозамещения. Они меняют методы, чтобы их действия по-прежнему выглядели как активность обычных пользователей», — отметил Олег Скулкин, руководитель управления киберразведки BI.Zone.
Убытки от хакерских атак
В первом полугодии 2023 г. средний ущерб российских компаний от действий хакеров вырос на треть, примерно до 20 млн руб. в годовом исчислении, как писал CNews. Фишинговые рассылки остаются одним из главных методов получения первоначального доступа во время целевых атак. Эксперты заметили, что сам фишинг стал более массовым и изощренным. Его основные характеристики в 2023 г. — высокий уровень автоматизации, защита от обнаружения, нацеленность на самые разные отрасли. Хакеры стали реже использовать интернет-эквайринг на фишинговых сайтах, смещая акцент с разового списания платежа в сторону получения доступа к личному кабинету в системе онлайн-банкинга. Количество фишинговых атак и кибермошенничеств в апреле 2023 г. выросло на 26% в сравнении с аналогичным периодом 2022 г. Такую статистику CNews предоставила компания «РТК-Солар».
Рекомендации для защиты
Чтобы защититься фишинговых рассылок, эксперты BI.Zone рекомендуют пользоваться специализированными решениями, которые блокируют спам и вредоносные письма. Эффективно реагировать на новые угрозы помогут сервисы непрерывного мониторинга ИТ-инфраструктуры. Они позволяют оперативно распознать продвинутые атаки и нейтрализовать угрозы.