Финансовое мошенничество в промышленных масштабах

Наши исследователи обнаружили очередную фишинговую кампанию, нацеленную на кражу денег с корпоративных счетов. Мишенью в этот раз стали преимущественно промышленные предприятия. Как правило, атаки на такие организации ассоциируются в первую очередь с кибершпионажем или саботажем. В этом же случае злоумышленники вспомнили, что промышленные компании весьма богаты и оперируют внушительными суммами.

Старый добрый фишинг

В атаках не используются сложные инструменты. В основе кампании лежат стандартные фишинговые схемы: электронные письма, содержащие якобы коммерческие предложения и другие финансовые документы или ссылки на них.

Отличительной особенностью атак является высокий уровень подготовки: мошенники обращаются к сотруднику по фамилии, имени и отчеству, знают его должность и сферу деятельности организации, а вся информация об источнике предложения выглядит очень правдоподобно.

В одних случаях преступники рассылают вредоносные вложения, в других — ссылку на сайт, но все письма составлены так, чтобы вынудить жертву загрузить или запустить необходимые мошенникам инструменты. Так, как минимум одному адресату сообщили, что его компания выбрана для участия в тендере на поставку оборудования. Чтобы подать документы на аукцион, ему необходимо было установить реально существующее ПО Seldon 1.7. В приложенном к письму архиве действительно содержалась эта программа (испорченная), однако помимо нее на устройство устанавливались зловреды.

В другом письме содержалось платежное поручение по продаже автомобиля в формате PDF. Оно было составлено крайне дотошно: в нем упоминались реальные компании с их реальными налоговыми реквизитами, и даже VIN-номер автомобиля соответствовал заявленной модели.

Легитимное ПО

Для атаки злоумышленники используют одну из легитимных программ для удаленного администрирования — TeamViewer или Remote Manipulator System (RMS). С их помощью они получают доступ к устройству, где затем ищут информацию о проводимых закупках, а также финансовое или бухгалтерское ПО. После этого они прибегают к разным уловкам, чтобы похитить деньги компании — например, подменяют реквизиты.

Чтобы сохранять доступ к системе как можно дольше, злоумышленники используют несколько способов маскировки подозрительной активности — как от владельца устройства, так и от защитных решений.

Дополнительный арсенал

При необходимости злоумышленники загружают на скомпрометированный компьютер дополнительные инструменты. Эти программы могут красть данные (начиная от логинов и паролей и заканчивая любыми файлами на устройстве), делать скриншоты и записывать видео с экрана, «прослушивать» офис через микрофон компьютера, собирать учетные данные устройств в локальной сети и многое другое.

Таким образом, помимо собственно денег злоумышленники в теории способны похитить конфиденциальную информацию о компании, ее клиентах и партнерах, шпионить за сотрудниками, записывать аудио и видео того, что происходит вблизи зараженного компьютера, или использовать его для разного рода атак, включая DDoS.

Кто в группе риска?

До сих пор большинство атак мы зафиксировали на территории России. На момент публикации нашего исследования злоумышленники попытались заразить примерно 800 компьютеров, принадлежащих как минимум 400 отечественным организациям самых разных отраслей:

• производство;
• нефть и газ;
• металлургия;
• инжиниринг;
• энергетика;
• строительство;
• добыча полезных ископаемых;
• логистика.

Кампания действует с октября 2017 года по настоящее время.

Как не стать жертвой?

Эта кампания в очередной раз демонстрирует, что легитимные инструменты могут быть опасны. Особенно в сочетании с тщательно продуманным фишингом. При этом далеко не все защитные решения учитывают этот факт и контролируют потенциально опасные программы. Поэтому, чтобы защитить предприятие:

• Поддерживайте на высоком уровне знания персонала в сфере информационной безопасности. Мы можем организовать основанные на игровом подходе тренинги для сотрудников всех уровней.
• Используйте современные защитные технологии, оценивающие поведение не только подозрительных, но и легитимных программ. Решение Kaspersky Endpoint Security для бизнеса способно детектировать все описанные в этой статье угрозы.