Cercetătorii Kaspersky Lab au detectat un nou val de e-mail-uri de direcționat, create pentru că infractorii să obțină câștiguri financiare. E-mail-urile păreau să fie documente legitime de achiziții și contabilitate și au afectat cel puțin 400 de organizații industriale, majoritatea din Rusia. Seria de atacuri a început în toamna anului 2017 și a vizat câteva sute de PC-uri din companii, din domenii precum petrol și gaze, metalurgie, energie, construcții și logistică.
Cu aceste e-mail-uri, infractorii nu au atacat din întâmplare companii din domeniul industrial, printre alte organizații, ci le-au avut ca principala țintă. Infractorii au trimis e-mail-uri care conțineau fișiere infectate, încercând să păcălească victimele să dezvăluie informații confidențiale, pe care să le valorifice apoi pentru a obține câștiguri financiare.
Acest val de e-mail-uri a vizat în jur de 800 de PC-uri ale angajaților, cu scopul de a fura bani și informații confidențiale de la organizații, care să poată fi ulterior folosite în noi atacuri. E-mail-urile erau „deghizate” în scrisori contabile și de achiziții, cu un conținut adecvat profilului organizației vizate și luau în calcul identitatea angajatului – destinatarul mesajului. Este demn de remarcat că atacatorii se adresau victimei pe numele său, ceea ce sugerează faptul că atacurile au fost atent pregătite, iar infractorii și-au făcut timp să creeze o scrisoare personalizată pentru fiecare utilizator.
Atunci când destinatarul dădea click pe fișierele infectate, un soft legitim modificat era instalat discret pe computer, astfel încât infractorii să se poată conecta la el și să examineze documentele și software-ul legate de procesele de achiziții, financiare și de contabilitate. Mai mult, atacatorii căutau diferite modalități de a comite fraude financiare, cum ar fi să schimbe datele din facturi pentru a retrage bani, în beneficiul lor.
De fiecare dată când infractorii aveau nevoie de date sau resurse suplimentare, cum ar fi să obțină drepturi de administrator sau să fure date de autentificare și conturi Windows, încărcau alte seturi de malware, pregătite individual pentru fiecare victimă. Acestea includeau spyware, instrumente de administrare de la distanță, care extind controlul atacatorilor asupra sistemelor infectate și malware care să exploateze vulnerabilitățile din sistemul de operare, precum și instrumentul denumit Mimikatz, care le permite utilizatorilor să obțină date din conturile Windows.
Cercetatorii recomanda pentru protecția împotriva atacurilor de phishing direcționat:
– să folosească soluții de securitate specializate, capabile să detecteze și să blocheze tentativele de phishing
– să introducă inițiative de conștientizare în domeniul securității cibernetice, printre care se numără training-urile bazate pe jocuri, care includ evaluarea și fixarea cunoștintelor prin repetiția unor atacuri de phishing simulate.
