В первой половине июля 2024 года системы мониторинга кибернетических угроз российских компаний зарегистрировали целевые почтовые рассылки с вредоносными архивами и ссылками внутри.
Некоторые письма представляли собой ответ на настоящую переписку с контрагентами целевых организаций, что может говорить о том, что злоумышленники использовали взломанные почтовые ящики этих контрагентов или ранее украденную переписку. Письма, продолжающие старую переписку, вызывают больше доверия у потенциальных жертв.
Злоумышленники постоянно меняли предлог, под которым просили скачать и открыть вредоносный архив, создавали уникальные и убедительные тексты писем, чтобы не вызвать сомнения у потенциальных получателей зловреда.
Для своих рассылок злоумышленники все реже используют бесплатные публичные почтовые домены. В результате более 96,5% писем рассылаются с отдельных доменов, а скомпрометированные почтовые ящики и доменные имена, а также подмена адреса отправителя с помощью спуфинга повышают вероятность вызвать доверие у жертвы.
Злоумышленники не использовали типовые шаблоны, а составляли персональные тексты, убеждающие читателя перейти по прикрепленной к письму ссылке, которая активирует загрузку вредоносного софта. Чаще всего вирус хранится в RAR-архиве, пароль к которому указывается в сопроводительном тексте.
Названия архивов также маскируются под документы, например, акты или ведомости. Внутри архива пользователь, как правило, обнаруживал папку с исполняемым файлом с двойным расширением. В случае загрузки и распаковки таких архивов мошенники смогут загружать файлы с компьютера жертвы на свой сервер.
Хакеры, использующие готовый код программ-вымогателей, могут не обладать продвинутыми навыками, но их атаки могут быть очень опасны из-за использования партнерских схем и тщательного выбора жертвы. В последнее время программы-вымогатели стали доступнее для злоумышленников.
Чтобы снизить риски, эксперты рекомендуют:
- использовать комплексные защитные решения для оперативного обнаружения и реагирования на угрозы, в том числе сложные;
- ограничить привилегии корпоративных пользователей, чтобы предотвратить несанкционированную активацию функционала шифрования, а также изменение ключей реестра;
- проводить анализ инцидентов для выявления начального вектора атак и предотвращения подобных атак в будущем;
- соблюдать осторожность при получении писем от незнакомых отправителей;
- не открывать вложения с неизвестных адресов, особенно исполняемые файлы;
- пересылать подозрительные письма в ИТ- или ИБ-отдел для проверки.