Жертвами киберпреступников в апреле опять стали бухгалтеры. Об этом сообщили в компании Bi.Zone («дочка» «Сбер», разрабатывает продукты в области кибербезопасности, расследует киберпреступления и анализирует защищенность IТ-инфраструктур). Подробнее на сайте РБК.
Похитить средства у компаний пытаются хакеры группировки Watch Wolf.
Раньше мошенники делали это за счет фишинговых рассылок. Сейчас хакеры сменили технологию и пытаются заразить компьютеры бухгалтеров вредоносными программами на фейковых сайтах. Для этого они активно используют SEO-продвижение.
SEO (Search Engine Optimization) — это набор методик и инструментов, помогающих делать сайты популярнее и прибыльнее как для пользователей, так и для поисковых роботов.
По словам руководителя управления киберразведки компании Bi.Zone Олега Скулкина злоумышленники наполняют сайты ключевыми словами, которые могут фигурировать в поисковых запросах бухгалтеров. Затем хакеры покупают контекстную рекламу, чтобы ссылка на сайт появлялась на первой странице поисковой выдачи. Фейковые страницы имитируют ресурсы для бухгалтеров, где можно загрузить, например, шаблоны документов. Жертва скачивает документ якобы в одном из популярных форматов (DOC или XLS), но на деле не с ресурса, а с файлообменника мессенджера Discord. После открытия архива в папке загрузки на компьютер загружается вредоносное программное обеспечение DarkWatchman. Используя реестр и инструментарий управления Windows с помощью бэкдора (метода обхода надлежащей авторизации, позволяющего получать скрытый удалённый доступ к компьютеру, в данном инциденте — троянской программы Buhtrap.) собирается информация о версии операционной системы, имени компьютера и пользователя, часовом поясе и зыке, информация об инсталлированных антивирусных программах. Собранные данные периодически отправляются на управляющий сервер. Таким образом, компьютер — или программный пакет — оказывается под контролем злоумышленника без ведома пользователя. Это позволяет мошенникам выводить средства со счетов компании.
Инциденты с трояном Buhtrap, часто заканчиваются большими убытками. За последние 9 лет с помощью этого вируса злоумышленники вывели со счетов компаний в России и СНГ около 7 млрд. рублей. За активностью этого вредоносного ПО эксперты Group-IB наблюдают с 2014 года: тогда исходные коды Buhtrap были опубликованы в открытом доступе и начался вал атак через систему клиент-банк. Количество успешных хищений с использованием этого ВПО изменяется волнообразно. Можно выделить три значимых всплеска. Технология атакующих при этом менялась. В 2014-2016 годах мошенники использовали удаленный доступ для хищений «вручную». При таком методе злоумышленникам невозможно определить доступную сумму денег у организации для совершения платежа. Поэтому они придерживались тактики множественных небольших, частых переводов. В 2018 году хакеры использовали автозалив — автоматическую подмену информации в платежных поручениях. Последняя активность наблюдалась в 2020-2021 годах — преступники использовали для хищений инструмент удаленного управления.
Бэкдор-атаки довольно редки. Большинство хакеров просто повторно используют одни и те же эксплойты и вредоносные программы. Это дешево и всегда работает, так как обычному пользователю обнаружить бэкдор сложно. При открытии диспетчера задач он не отображается.
Если повышение осведомленности сотрудников помогает бороться с фишингом, то с SEO poisoning такая просветительская деятельность пока не работает.
Разработчики программного обеспечения часто публикуют новые патчи для исправления уязвимостей в своем программном обеспечении. Важно постоянно устанавливать эти обновления. 34% ИТ-специалистов в Европе признали, что их компания была взломана в результате неисправленной уязвимости.
Исследователи отмечают, что для защиты можно использовать специализированные сервисы, которые защищают DNS-трафик и проверяют на легитимность обращения во внешнюю сеть. Но даже они не всегда могут определить вредоносный сайт. Поэтому лучшим решением является сохранение бдительности и скачивание файлов только с проверенных ресурсов.