Киберпреступники вклиниваются в рабочую переписку
В "Лаборатории Касперского" рассказали, что с февраля по март 2022 г. количество таких писем в разных странах, в том числе в России, выросло в 10 раз, увеличившись примерно с 3000 до 30 тыс. Вредоносные письма приходят на разных языках, в том числе на английском, немецком, французском, итальянском, польском, венгерском, норвежском, словенском.
По словам экспертов, одна из схем выглядит так: в ветке уже имеющейся переписки пользователи получают письмо, в котором содержится вложение или ссылка, часто ведущая на какой-либо популярный облачный сервис для хранения файлов. "Задача письма - убедить получателей пройти по ссылке, скачать заархивированный документ и открыть его, используя пароль, указанный в тексте, или открыть вложение, прикрепленное к письму. Для этого злоумышленники обычно пишут, что документ содержит важные данные, которые получатель давно запрашивал: например, платежную форму или коммерческое предложение. Как только жертва открывает архив, содержащийся в нем троянец скачивает и запускает динамическую библиотеку Qbot. В ряде случаев вредоносные документы загружали троянец Emotet", - уточняют в "Лаборатории Касперского". Эксперты отмечают, что попавший на компьютер зловред может красть учетные данные пользователя, шпионить за деятельностью компании, распространяться по сети и устанавливать программы-шифровальщики на другие ПК, получать доступ к электронным письмам, а распространяемое таким образом вредоносное ПО может также получать доступ к электронным письмам, которые злоумышленники могут использовать для дальнейшей организации вредоносной почтовой рассылки.
Руководитель группы защиты от почтовых угроз "Лаборатории Касперского" Андрей Ковтун говорит, что подделка под деловую переписку - распространенный прием, однако в данной мошеннической рассылке все немного хитрее. "Здесь переписка является реальной, так как злоумышленник вклинивается в уже существующий диалог письмом, содержащим зловред. Текст сообщения часто выдержан в деловом стиле и генерируется скриптом, из-за чего блокировка вредоносного письма спам-фильтрами усложняется. Однако наши решения такие письма опознают и успешно блокируют", - отмечает Андрей Ковтун.
По словам эксперта по информационной безопасности компании "Киберпротект" Евгения Родыгина, такая схема распространена во всем мире и Россия - не исключение. "Практически все атаки на корпоративный сектор начинаются с фишинга. Специалисты по ИБ относительно легко различают фишинговые письма, сформированные внутрироссийскими группировками злоумышленников, и веерные письма извне. Внутренний фишинг использует особенности поведения русскоязычных получателей таких писем", - отмечает эксперт.
Он говорит, что социальная инженерия и фишинг, как одно из ее направлений, остаются одним из самых действенных методов злоумышленники. Это связано с тем, что злоумышленнику не нужны какие-то сложные технические решения, он использует доступные/открытые каналы информационного обмена с потенциальными жертвами. Это позволяет осуществлять манипуляции с потенциальной жертвой атаки по широкому спектру направлений, в том числе ведущие к установке зловреда на компьютер. "Мы видим тенденцию развития массовых или веерных атак с применением механизмов формирования территориального или внутреннего контекста, которые в свою очередь повышают вероятность реакции потенциальных жертв. Такие письма учитывают не только языковые особенности, но и яркие события, происходящие в регионах, куда эти письма направляются. Следует ожидать развития этой тенденции, включая учет злоумышленниками контекста деятельности отдельных компаний, применение для формирования фишинговых писем ИИ и средств автоматизации", - уверен Евгений Родыгин.
По словам заместителя руководителя отдела информационной безопасности компании "Ланит-Интеграция" (входит в группу "Ланит") Владимира Лапшина, компьютерные атаки с использованием электронной почты - один из основных векторов распространения вредоносного ПО, в последнее время усиление такой активности, действительно, фиксируется. "Сегодня схема по отправке вредоносных ссылок, документов с макросами, исполняемых файлов распространена в России и за ее пределами. Это один из самых простых способов по доставке опасного программного обеспечения. Все дело в том, что такой метод охватывает широкую аудиторию пользователей, которые могут открыть такие вложения", - отмечает Владимир Лапшин. По его мнению, сообщения на местном языке имеют более высокий риск для организаций. Они могут быть замаскированы под бизнес-переписку с просьбой оперативного действия или похожее письмо, побуждающее пользователя открыть и скачать вредоносный файл. "Однако к сообщениям на иностранном языке пользователи относятся настороженно", - уточнил он.
Эксперт по информационной безопасности ИТ-компании "Крок" Анастасия Федорова рассказала, что в компании фиксируют с конца февраля рост фишинговых атак с использованием методов социальной инженерии в рассылаемых письмах. По ее словам, такие рассылки эксплуатируют не только желание пользователей скачать те или иные вложения, но также и пройти по ссылкам из писем, заполнить те или иные формы. "Часто такие письма играют на самых лучших человеческих сторонах - сочувствии, гражданской позиции, справедливости. Зачастую эксплуатируется и невнимательность, и тревожность. Наш опыт работы говорит, что самое слабое звено в защищаемом периметре - это пользователь. Большая часть успешных атак на инфраструктуры компаний происходит как раз из-за ошибок и невнимательности пользователей. Справляться с такими атаками помогают методы и системы, направленные на постоянное повышение осведомленности в области ИБ и учебные тренировки пользователей, повышающие их уровень осознанности и внимательности", - отмечает Анастасия Федорова.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отмечает, что, как и многие другие вредоносные программы с "историей", Qbot периодически эволюционирует. Его создатели ищут новые слабые места и разрабатывают перспективные векторы атак. "Весенний всплеск активности этого зловреда связан с тем, что создан новый способ его загрузки - через архив. Ранее Qbot распространялся через документы MS Office со встроенным макрокодом, но ради безопасности пользователей Microsoft в начале этого года по умолчанию заблокировала макросы для своих офисных приложений", - рассказывает эксперт.
По оценке Евгения Родыгина из компании "Киберпротект", метод очень эффективен и связан с внутрикорпоративной культурой компаний-жертв. "Это подтверждается результатами внутренних учений, которые мы проводили. Хорошо подготовленный фишинг, учитывающий внутренний контекст событий в компании, яркие события, использование особенностей культуры компании, знание и использование личной информации сотрудников компании и т.п., - ведет к великолепным результатам для мошенников и плачевным для их жертв", - рассказывает эксперт. По его словам, социальная инженерия использует яркие эмоции для манипулирования людьми, и злоумышленникам неважно, будут эти эмоции положительными или отрицательными, - важно, чтобы потенциальная жертва выполнила то, на что рассчитывают мошенники.