/ /

«Ростелеком-Солар» зафиксировал всплеск необычных кибератак на банки и энергетику

«Ростелеком-Солар» зафиксировал всплеск необычных кибератак на банки и энергетику

download PDF
19 февраля 2020, 00:17    566

Эксперты центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» зафиксировали всплеск достаточно редкого типа атак на банки и энергетическую отрасль. Цепочка вредоносной активности включает целых четыре этапа, что позволяет хакерам получить контроль в инфраструктуре организации, оставаясь незаметными для средств защиты - антивирусов и даже песочниц.

 

Многокомпонентная атака начинается фишинговой рассылкой офисных документов в адрес сотрудников банков и энергетических компаний якобы от имени других организаций — представителей отрасли. При открытии вложения активируется исполняемый файл, который обращается к популярному хостингу открытого кода pastebin.com. Оттуда запускается участок кода, который в свою очередь отправляет команду о скачивании на атакуемый компьютер картинки с сервиса по обмену изображениями imgur.com. Дело осложняет использование стеганографии: в загруженное изображение встроено вредоносное ПО, позволяющее хакерам собрать и отправить на свои серверы полную информацию о жертве.

 

Если полученные данные оказываются интересными для злоумышленников, дальнейший сценарий управления зараженной системой может включать в себя, например, загрузку вирусов для кражи ценных документов и коммерческого кибершпионажа (в случае с энергетическими компаниями) или для вывода денежных средств (если речь идет о банках). Кроме того, хакеры могут монетизировать свои действия, продавая сами точки присутствия в инфраструктуре организаций.

 

По статистике «Ростелеком-Солар», 80% таких атак было направлено на банки. Но в оставшихся 20% случаев, которые пришлись на энергетику, хакеры атаковали более активно — специалистам из этой отрасли было отправлено около 60% от общего числа фишинговых писем, причем их качество также говорит о более тщательной подготовке со стороны злоумышленников.

 

«Любопытно, что стилистика вредоносного кода очень похожа на ту, что использует русскоговорящая хакерская группировка Silence, которая до недавнего времени специализировалась исключительно на банках. То есть либо Silence осваивает новые отрасли и способы зарабатывания денег, либо появилась новая, очень профессиональная группировка, которая удачно имитирует код Silence, сбивая прицелы специалистов по информационной безопасности», — комментирует Игорь Залевский, руководитель центра расследования киберинцидентов JSOC CERTкомпании «Ростелеком-Солар».

 

Как отмечают эксперты JSOC CERT, cтоль непростой механизм доставки вредоносного ПО до конечной точки встречается крайне редко и обычно свидетельствует о целенаправленной атаке. Автоматизированные средства защиты — антивирусы и песочницы — не могут детектировать подобные инциденты, так как они рассчитаны на выявление атак из одного – максимум двух этапов. В этих условиях службам безопасности организаций рекомендуется особенно внимательно подойти к вопросу повышения киберграмотности сотрудников. 

 

«Ростелеком-Солар» — компания группы ПАО «Ростелеком». Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.

В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только при непрерывном мониторинге и удобном управлении системами ИБ. Этот принцип реализован в наших продуктах и сервисах.

Свежее



Был ли вам полезен данный материал?


Подобрать оборудование

Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

Вы должны авторизоваться, чтобы написать комментарий


    Яндекс.Директ

    RUБЕЖ в facebook RUБЕЖ в vk RUБЕЖ в twitter RUБЕЖ на youtube RUБЕЖ в google+ RUБЕЖ в instagram RUБЕЖ-RSS

    Контакты

    Адрес: 121471, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

    Тел./ф.: , +7 (495) 539-30-20

    Время работы:

    E-mail: info@ru-bezh.ru

    E-mail: help@ru-bezh.ru - по техническим вопросам


    Свидетельство о регистрации ФС77-78638 от 10 июля 2020г

    выдано Федеральной службой по надзору в сфере связи,

    информационных технологий и массовых коммуникаций.

    Для рекламодателей

    E-mail: reklama@ru-bezh.ru

    тел.: +7 (495) 539-30-20 (доб. 103)

    total time: 1.5273 s
    queries: 259 (0.7453 s)
    memory: 2 048 kb
    source: database
    Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.