Cyberprzestępcy zaatakowali co najmniej 400 firm. Wystarczył spreparowany e‑mail
Komputery wykorzystywane w dużych firmach są bardziej narażone na ewentualny atak cyberprzestępców niż urządzenia przeciętnego użytkownika. Nic dziwnego, bowiem to na nich mogą znajdować ważne i naprawdę cenne pliki. Badacze z Kaspersky Lab wykryli nową falę phishingowych e-maili, które były wymierzone w co najmniej 400 firm.
02.08.2018 18:27
Seria ataków rozpoczęła się jesienią 2017 r. Ich celem było kilkaset komputerów firm zlokalizowanych głównie w Rosji z różnych branż: od paliwowej i gazowej po metalurgię, branżę energetyczną, budowlaną i logistyczną.
Rozsyłane wiadomości e-mail zawierały szkodliwe załączniki. Cyberprzestępcy chcieli w ten sposób wyciągnąć poufne dane, aby móc je następnie wykorzystać do zarabiania pieniędzy. Wiadomości e-mail podszywały się pod legalne dokumenty zakupowe oraz księgowe i zawierały treści, które odpowiadały profilowi zaatakowanych organizacji i uwzględniały tożsamość pracownika – odbiorcy wiadomości.
Z pewnością na uwagę zasługuje fakt, że atakujący zwracali się do swoich ofiar po imieniu. To sugeruje, że ataki zostały dokładnie przygotowane. Wystarczyło, że odbiorca spreparowanej wiadomości kliknął na szkodliwy załącznik, a na jego komputerze w dyskretny sposób instalowało się zmodyfikowane oprogramowanie. Wówczas przestępcy mogli połączyć się z ofiarą ataku, aby zbadać dokumenty i narzędzia związane z operacjami finansowymi, księgowymi i zakupowymi. Ponadto cyberprzestępcy szukali różnych możliwości popełnienia oszustw finansowych.
Gdy przestępcy potrzebowali dodatkowych danych lub możliwości (np. uzyskanie lokalnych praw administratora czy kradzież danych uwierzytelniających użytkownika), przesyłali do zainfekowanych maszyn dodatkowe zestawy szkodliwego oprogramowania. Na komputery trafiło oprogramowanie spyware, dodatkowe narzędzia zdalnej administracji, exploity pozwalające na wykorzystanie luk w zabezpieczeniach systemu operacyjnego i zainstalowanych aplikacjach oraz narzędzie Mimikatz, które umożliwia użytkownikom przejęcie danych z kont systemu Windows.
Warto zauważyć, że atak wykorzystywał często najsłabszy element zabezpieczeń, czyli człowieka. W końcu do przeprowadzania ataku wymagane było kliknięcie na szkodliwy załącznik i zainstalowanie złośliwego oprogramowania. Pełny raport dotyczący ataku dostępny jest na stronie Kaspersky Lab ICS CERT.