Российский бизнес в июле начал получать письма якобы от имени Роскомнадзора, зараженные новым вредоносным софтом White Snake, который создан для кражи логинов и паролей пользователей, конфиденциальных данных, получения доступа к звуку микрофона или записи с веб-камер. Ущерб от подобной атаки в зависимости от размера компании может доходить до сотен миллионов рублей, отмечают эксперты. Но гораздо больший урон принесет продажа краденых данных на теневых форумах.
Фото: Иван Водопьянов, Коммерсантъ
Злоумышленники в июле начали рассылать компаниям фишинговые письма с вредоносным программным обеспечением (ПО), созданным для кражи паролей и других данных, рассказали “Ъ” эксперты управления киберразведки BI.ZONE (экс-структура «Сбера»). ПО под названием White Snake появилось только в этом году, уточнили в BI.ZONE, оно позволяет получить сохраненные пароли пользователя, копировать файлы, записывать команды клавиш, звук с микрофона и видео с веб-камеры и получать другие виды доступа к устройству.
Одним из способов рассылки White Snake стали электронные письма по коммерческим адресам, в том числе из утечек данных, под видом уведомлений Роскомнадзора.
В первом вложении письма — уведомление от ведомства, в котором сообщается, что «в ходе выборочного мониторинга активности» установлено посещение сотрудниками экстремистских интернет-ресурсов и сайтов, которые распространяют материалы иноагентов. Роскомнадзор якобы требует проверить приложенные к письму материалы и дать пояснение в течение двух рабочих дней, угрожая мерами административного и уголовного характера. Второй файл содержит ссылку на вредоносное ПО.
В BI.ZONE отметили, что необычным для атаки стало использование именно «коммерческого вредоносного ПО», то есть продаваемого на теневых форумах, а не созданного группировкой для своих целей. Купить подписку на него можно за $140 в месяц, получить неограниченный доступ — за $1,9 тыс. Низкая цена и легкость применения ведут к «неизбежному увеличению числа целевых атак», подчеркивает руководитель управления киберразведки BI.ZONE Олег Скулкин.
Угрозу подтверждают в «Лаборатории Касперского»: под разными предлогами атакующие стремятся убедить пользователя открыть архив — начиная с угроз многомиллионными штрафами и заканчивая пометкой «проверено антивирусом» в конце письма.
Роскомнадзор в своем Telegram-канале заявлял, что ведомство «не занимается массовой рассылкой писем гражданам, организациям или органам власти».
От дополнительных комментариев в службе отказались. Ранее фишинговым рассылкам подвергался сам госсектор: весной группировка XDSpy атаковала структуры МИДа рассылкой якобы от коллег вредоносного ПО для получения нелегального доступа к корпоративной почте министерства (см. “Ъ” от 31 марта).
White Snake способен собирать данные на зараженном компьютере через популярные браузеры, как Chrome и FireFox (пароли, загрузки), и известные программы, например, Outlook, Discord, Telegram и т. д., а также с криптокошельков, добавляет специалист отдела исследования угроз Positive Technologies (PT ESC) Александр Бадаев: «В случае заражения одного сотрудника White Snake злоумышленники могут получить доступ к устройствам других через собранные учетные данные».
Наиболее ощутимо атаки влияют на компании финансового сектора, включая владельцев цифровых кошельков, и научно-технические организации, чьи разработки и интеллектуальная собственность представляют особую ценность, считают в «Информзащите».
В зависимости от типа компании и целей преступников в каждом конкретном случае ущерб может составить от «нескольких миллионов до сотен миллионов рублей», говорит руководитель направления анализа защищенности центра инноваций Future Crew МТС RED Алексей Кузнецов. «Чаще всего такие вирусы крадут данные учетных записей, а поскольку в 70% компаний нет двухфакторной аутентификации, злоумышленники с большой вероятностью получат точку присутствия в компании»,— говорит он. Дальше, допускает эксперт, информация может быть продана в даркнете или использована для длительного шпионажа.