Cyberprzestępcy zaatakowali co najmniej 400 firm. Wystarczył spreparowany e-mail

Strona głównaCyberprzestępcy zaatakowali co najmniej 400 firm. Wystarczył spreparowany e-mail
02.08.2018 18:27
fot. Materiały prasowe.
fot. Materiały prasowe.
bDZdjmNy

Komputery wykorzystywane w dużych firmach są bardziej narażone na ewentualny atak cyberprzestępców niż urządzenia przeciętnego użytkownika. Nic dziwnego, bowiem to na nich mogą znajdować ważne i naprawdę cenne pliki. Badacze z Kaspersky Lab wykryli nową falę phishingowych e-maili, które były wymierzone w co najmniej 400 firm.

bDZdjmMR

Seria ataków rozpoczęła się jesienią 2017 r. Ich celem było kilkaset komputerów firm zlokalizowanych głównie w Rosji z różnych branż: od paliwowej i gazowej po metalurgię, branżę energetyczną, budowlaną i logistyczną.

Jeden z e-maili wysłanych przez cyberprzestępców.
Jeden z e-maili wysłanych przez cyberprzestępców.

Rozsyłane wiadomości e-mail zawierały szkodliwe załączniki. Cyberprzestępcy chcieli w ten sposób wyciągnąć poufne dane, aby móc je następnie wykorzystać do zarabiania pieniędzy. Wiadomości e-mail podszywały się pod legalne dokumenty zakupowe oraz księgowe i zawierały treści, które odpowiadały profilowi zaatakowanych organizacji i uwzględniały tożsamość pracownika – odbiorcy wiadomości.

Oprogramowanie używane przez przestępców, które podszywa się pod legalny program.
Oprogramowanie używane przez przestępców, które podszywa się pod legalny program.

Z pewnością na uwagę zasługuje fakt, że atakujący zwracali się do swoich ofiar po imieniu. To sugeruje, że ataki zostały dokładnie przygotowane. Wystarczyło, że odbiorca spreparowanej wiadomości kliknął na szkodliwy załącznik, a na jego komputerze w dyskretny sposób instalowało się zmodyfikowane oprogramowanie. Wówczas przestępcy mogli połączyć się z ofiarą ataku, aby zbadać dokumenty i narzędzia związane z operacjami finansowymi, księgowymi i zakupowymi. Ponadto cyberprzestępcy szukali różnych możliwości popełnienia oszustw finansowych.

bDZdjmMT

Gdy przestępcy potrzebowali dodatkowych danych lub możliwości (np. uzyskanie lokalnych praw administratora czy kradzież danych uwierzytelniających użytkownika), przesyłali do zainfekowanych maszyn dodatkowe zestawy szkodliwego oprogramowania. Na komputery trafiło oprogramowanie spyware, dodatkowe narzędzia zdalnej administracji, exploity pozwalające na wykorzystanie luk w zabezpieczeniach systemu operacyjnego i zainstalowanych aplikacjach oraz narzędzie Mimikatz, które umożliwia użytkownikom przejęcie danych z kont systemu Windows.

Warto zauważyć, że atak wykorzystywał często najsłabszy element zabezpieczeń, czyli człowieka. W końcu do przeprowadzania ataku wymagane było kliknięcie na szkodliwy załącznik i zainstalowanie złośliwego oprogramowania. Pełny raport dotyczący ataku dostępny jest na stronie Kaspersky Lab ICS CERT.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bDZdjmNP