Неизвестные хакеры атаковали более 50 крупных российских компаний, выдавая себя за представителей популярных брендов, сообщил РБК представитель «Ростелеком-Solar». По его словам, активность киберпреступников была зафиксирована в феврале 2019 года. Информацию об атаке изданию подтвердили представители Group-IB и Positive Technologies. Какие конкретно компании получали фишинговые письма, а также размер ущерба неизвестны.
Как рассказал директор Центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков, кибератаки осуществлялись по будням в рабочие часы. Злоумышленники использовали вирус-шифровальщик Shade/Troldesh: он кодирует файлы на устройстве и требует плату за доступ к ним. «Мы видим эту атаку почти на всех наших клиентов — это около 50 крупнейших компаний России из самых разных отраслей. Их сотрудники получают по 10–50 писем в день в зависимости от размера организации и количества электронных ящиков корпоративной почты»,— добавил эксперт. По данным Group-IB, хакеры осуществляли до 2 тыс. рассылок фишинговых писем в день.
В «Ростелеком-Solar» заявили, что письма с вредоносным ПО рассылались от имени «Ашана», «Магнита», «Славнефти» и ГК «ПИК». Источник РБК на рынке кибербезопасности заявил, что атаки начались еще в ноябре 2018 года. «Первым, кем на этот раз прикинулся шифровальщик, стал Газпромбанк, рассылки шли якобы от менеджеров этого банка. Спустя две недели злоумышленники "переоделись" в менеджеров банка "Открытие", в декабре — Бинбанка»,— утверждает он. По словам собеседника издания, в феврале письма рассылались от имени ГК «Дикси», Metro Cash & Carry и Philip Morris. «Естественно, все эти компании никакого отношения не имеют к рассылке»,— подчеркнул источник.
В «Дикси» РБК подтвердили, что «некоторое время назад» получили «большое количество жалоб от деловых партнеров на подозрительные электронные письма», которые приходили якобы от имени компании. По словам источника издания в «Славнефти», последняя хакерская атака была зафиксирована около двух недель назад.
Особенностью этих кибератак стало использование так называемых умных устройств — например, роутеров, находящихся в странах Азии, Латинской Америки, Европы и в самой России, рассказали в «Ростелеком-Solar». «Обычно устройства интернета вещей используются для DDoS-атак. Рассылка фишинговых писем с роутеров — пока экзотика. Как мы видим, письма рассылаются с устройств, учетные записи которых имеют слабый пароль»,— пояснил Владимир Дрюков.
Какое место занимает Россия в рейтинге по уровню кибербезопасности, читайте в публикации “Ъ”.