Хакеры для приема внутрь
Интернет-мошенники атакуют корпоративные сети фармацевтического сектора
С начала пандемии количество таргетированных фишинговых атак на фармацевтический сектор в России увеличилось в полтора раза, обнаружили эксперты. Одну из компаний, например, атаковали северокорейские хакеры Lazarus. Киберпреступников интересуют информация о разработке вакцин и выкуп за расшифровку данных: фармацевтические компании обычно готовы платить хакерам чаще, чем представители других отраслей.
Тренд на атаки на фармацевтические компании добрался до России, предупреждают эксперты по кибербезопасности. За период пандемии количество таргетированных фишинговых атак на фармсектор выросло в полтора раза, рассказал директор департамента информационной безопасности Biocad Евгений Артюхин. Несколько источников сообщили, что одна из крупных российских фармацевтических компаний в сентябре 2020 года была атакована северокорейской группировкой Lazarus.
Один из собеседников “Ъ” добавляет, что крупная атака состоялась на компанию «Р-Фарм».
В самой компании отказались от комментариев.
Сентябрьскую атаку Lazarus проанализировали в компании Positive Technologies. Согласно этому исследованию, сотрудники фармацевтической компании получили фейковые предложения о работе в американской General Dynamics Mission Systems. Письма от мошенников приходили разным сотрудникам на e-mail, в Telegram или LinkedIn, те открывали письма на домашних компьютерах, активируя таким образом вредоносные вложения из них, что позволило хакерам получить доступ к устройствам.
Когда сотрудники удаленно подключились со скомпрометированных устройств к корпоративному серверу, у злоумышленников появилась возможность проникнуть в корпоративную сеть, и за четыре дня они получили частичный контроль над инфраструктурой компании, указывает Positive Technologies.
По данным исследователей, это не первая атака северокорейской группировки с упоминанием General Dynamics Mission Systems: аналогичные атаки проводились в том же географическом сегменте (по данным “Ъ”, российском). О том, что группировка Lazarus активизировалась в России, “Ъ” сообщал 23 июля 2020 года.
У атак на фармацевтические компании есть как минимум две причины: во-первых, все хотят получить доступ к данным, касающимся разработки и производства вакцин от коронавируса, рассуждает директор по росту BI.ZONE Рустэм Хайретдинов. Во-вторых, по его словам, фармацевтические компании зачастую соглашаются платить вымогателям. В среднем лишь 30% атакованных предприятий платят выкуп злоумышленникам, у фармацевтических компаний этот показатель выше, отмечает господин Хайретдинов.
Киберпреступников привлекают и возможности для фишинга на фоне актуальности коронавирусной тематики, и простая монетизация за счет продажи персональных данных пациентов на черном рынке, полагает директор по развитию бизнеса центра противодействия кибератакам Solar JSOC Алексей Павлов.
В случае с закрытыми лечебными учреждениями (в том числе с теми, что аффилированы с силовыми структурами) получение персональных данных пациентов и сотрудников может быть промежуточным шагом в масштабной атаке со стороны кибергруппировок, спонсируемых другими государствами, добавляет он.
Рост числа атак связан с повсеместным переходом на удаленную работу, использованием все большего числа домашних устройств в сетях компаний, переходом на облачные технологии, усталостью сотрудников, перегрузкой аналитических центров событиями, рассуждает эксперт по информационной безопасности Денис Батранков.
В защите от подобных атак важно не только то, какие средства защиты внедрены в компании, но и то, насколько осведомлены сотрудники в вопросах информбезопасности, подчеркивает Евгений Артюхин. Он рекомендует уделять внимание внутренним программам повышения осведомленности пользователей, проводить периодические тренинги и проверку усвоенных материалов, чтобы защитить сотрудников от неверных действий и снизить риски информационной безопасности.