Кибермошенники атаковали организации в РФ при помощи средства удаленного доступа
Злоумышленники скомпрометировали не менее 400 организаций России и других стран СНГ при помощи легитимного средства удаленного доступа NetSupport. В своих атаках они имитировали уведомления от государственных органов, используя в фишинговых письмах данные жертв, рассказали "Известиям" в компании BI.ZONE 18 февраля.
Отмечается, что специалисты BI.ZONE Threat Intelligence обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации, в декабре 2024 года. Среди пострадавших отраслей оказались финансовый сектор, ритейл, IT, транспорт и логистика.
"Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО (программное обеспечение. — Ред.) STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество", — объяснил руководитель BI.ZONE Threat Intelligence Олег Скулкин.
Мошенники распространяли PDF-документы, замаскированные под решения о привлечении к ответственности за совершение налогового правонарушения. Кроме ссылок на вредоносные файлы, вложение содержало инструкции по установке интерпретатора Java, который необходим для работы ПО. При этом злоумышленники использовали NetSupport — программное обеспечение для удаленного управления, мониторинга, поддержки и обучения.
Ранее, 13 января, сообщалось, что в России у 65% проанализированных компаний низкий уровень защищенности. Атаки на них могут , привести к остановке ключевых бизнес-процессов и финансовым потерям. Об этом говорилось в результатах исследования компании по информационной безопасности "Бастион".
