Анастасия
Скрынникова
14.08.2020

Хакеры из группировки TinyScouts отправляют письма в банки с предупреждением о второй волне COVID-19. Сотрудникам финучреждений также предлагается дать интервью — злоумышленники маскируются под журналистов, в том числе из РБК

В интернете появилась новая хакерская группировка, которая атакует банки и энергетические компании, рассказали РБК специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC "Ростелекома". Она получила название TinyScouts (по сочетанию названия фрагментов в программном коде вируса). Хакеры используют сложную схему атаки и уникальное вредоносное ПО, ранее неизвестное специалистам Solar JSOC.

О новой хакерской группировке знает и руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов. По его словам, первые атаки на банки произошли в апреле, группировку в Group-IB называют oldgremlin, а вирусную программу, с помощью которой действуют злоумышленники, — TinyPosh.

Как происходит атака

На первом этапе атаки киберпреступники рассылают сотрудникам организаций фишинговые письма, в которых предупреждают о начале второй волны пандемии коронавируса. Для получения дополнительной информации адресату предлагают пройти по внешней ссылке, рассказывают в Solar JSOC. Встречаются также варианты фишинговых писем, имеющих четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит "вполне убедительно", однако также содержит вредоносную ссылку.

"Свои письма хакеры oldgremlin рассылают от имени различных юридических лиц, мы фиксировали рассылку от имени СРО "Мир", клиники "НоваДент" и других. Естественно, к этим организациям вредоносные кампании не имеют никакого отношения", — добавляет Миркасымов.

По словам представителя СРО "Мир", о подобных атаках с использованием ее имени компании не известно. "Вместе с тем мы знаем о случаях, когда целями становились МФО. Первые рассылки были зафиксированы весной, последняя, о которой нам известно, — в июле. С подобной же проблемой столкнулись и две другие СРО МФО примерно в тот же период времени, что также указывает на ее массовость, атаку на сектор в целом", — отмечает собеседник РБК.

Что такое фишинг

Фишинг — это вид интернет-мошенничества, с помощью которого получают доступ к конфиденциальным данным пользователей — логинам и паролям. Как правило, злоумышленники отправляют электронные сообщения с фишинговыми ссылками внутри. Эти ссылки ведут на сайт, внешне не отличимый от настоящего, либо на страницу с функцией переадресации на другую. После клика на подобную ссылку на компьютер жертвы может загрузиться вредоносное ПО.

По данным Solar JSOC, в среднем примерно в 70% случаев именно фишинг считается первым этапом сложной целенаправленной атаки. Количество заблокированных Group-IB фишинговых ресурсов во втором квартале 2020 года увеличилось на 71% по сравнению с тем же периодом 2019-го, рассказали в компании.

Кликнув по ссылке в письме, жертва запускает загрузку основного компонента вредоносного ПО. "На этом этапе злоумышленники действуют максимально осторожно, поскольку каждый шаг в отдельности не привлекает внимания службы безопасности и систем защиты информации. Загрузка происходит через анонимную сеть TOR, что делает неэффективной такую популярную меру противодействия, как запрет на соединение с конкретными IP-адресами, которые принадлежат серверам злоумышленников", — объясняют в Solar JSOC.

На следующем этапе атаки вредоносное ПО собирает информацию о зараженном компьютере и передает злоумышленникам. Если данный узел инфраструктуры не представляет для них существенного интереса, то на него загружается дополнительный модуль — "вымогатель", шифрующий всю информацию на устройстве и требующий выкуп за расшифровывание.

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное ПО, защищенное несколькими слоями обфускации (ПО для запутывания кода) и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией.

Сколько именно компаний пострадало в рамках атаки, в Solar JSOC и Group-IB не раскрывают.

Кем притворяются хакеры

Самой примечательной была атака якобы от имени журналиста РБК, вспоминает Рустам Миркасымов

Используя методы социальной инженерии, хакеры написали поддельное письмо, отправленное якобы с корпоративной почты РБК, которое также содержало логотип компании. В нем (копия есть у РБК) одному из сотрудников калининградского банка злоумышленники представились журналистом издания и предложили получателю пройти интервью в рамках "всероссийского исследования банковского и финансового сектора во время пандемии коронавируса".

"Злоумышленник под именем журналиста назначает интервью и сообщает, что добавил его в Calendly (открытый планировочный сервис. — РБК), на самом же деле для проведения атаки хакеры создали [аналогичный] календарь, в котором и назначали встречу жертве. После предложения об интервью злоумышленники написали повторное письмо жертве: в нем журналист сообщает, что написал вопросы для интервью, выгрузил их в облако и ждет ответов на них. Повторное письмо хакеры направляют, чтобы удостовериться, что получатель на крючке: он заинтересован, прочитал письмо и перешел по ссылке. Для большей убедительности в каждом письме фигурирует имя известного вендора в сфере кибербезопасности, которым якобы проверено письмо. Так oldgremlin окончательно усыпляют внимание атакуемого", — объясняет Миркасымов.

"То, что решение о сценарии атаки принимается злоумышленником после получения информации о том, какой организации принадлежит конкретная зараженная машина, косвенно свидетельствует о планируемых масштабах активности TinyScouts, как минимум о технической готовности к ряду одновременных атак на крупные организации", — делают вывод в Solar JSOC.

На что могут рассчитывать пострадавшие компании

РБК (и другие компании, которыми притворялись злоумышленники) может заявиться потерпевшим в рамках расследования уголовного дела в соответствии со ст. 42 Уголовно-процессуального кодекса, указав на причинение преступлением вреда деловой репутации, объясняет партнер адвокатского бюро "Забейда и партнеры" Дарья Константинова: "Однако есть нюансы: потерпевшим от преступления лицо может быть признано только в случае, если непосредственно преступлением этот вред был причинен. Опосредованное причинение вреда может являться основанием лишь для подачи гражданского иска. Поэтому при подаче заявления о признании потерпевшим необходимо будет конкретизировать и обосновать, какой конкретно вред был причинен деловой репутации непосредственно преступлением".

По словам представителей Solar JSOC и Group-IB, хакеры атакуют банки и энергетические компании, однако не раскрывают названия организаций. Представители ВТБ и Тинькофф Банка рассказали РБК, что не фиксировали похожих атак. РБК направил запрос в Сбербанк, Альфа-банк, Газпромбанк и банк "Траст".

Рынок киберпреступности, составляющий, по разным оценкам, около $1 трлн, демонстрирует рост, рассказывает ведущий аналитик направления "Информационная безопасность" ИТ-компании КРОК Анастасия Федорова. "Пандемия подстегнула расти не только цифровые технологии, но и цифровую преступность с использованием различных мошеннических схем: таргетированных атак, социальной инженерии, фишинга. Исходя из этого, нет ничего удивительного в появлении нового игрока на растущем рынке — очередной хакерской группировки. Ее почерк можно назвать довольно классическим: попытка входа через фишинговые письма. Самым слабым звеном в безопасности организаций остается пользователь. В большинстве организаций даже с налаженными процессами по обучению в области безопасности около 80% пользователей открывают письма и переходят по зараженным ссылкам", — говорит эксперт.

Новости из связанных рубрик