Istraživači kompanije Kaspersky Lab otkrili su novi talas finansijskih fišing i-mejlova dizajniranih da sajber kriminalce brzo dovedu do zarade. Ovi i-mejlovi prerušeni u legitimne dopise i računovodstvena pisma pogodili su najmanje 400 industrijskih organizacija, uglavnom u Rusiji. Serija napada započeta je na jesen 2017. godine i ciljala je nekoliko stotina korporativnih računara u različitim industrijskim sferama: od industrije nafte i gasa do metalurgije, energetike, građevinarstva i logistike.
U otkrivenom talasu kriminalci nisu napadali samo industrijske kompanije zajedno sa drugim organizacijama već su im one bile glavna meta. Sajber kriminalci su tada poslali niz i-mejlova koji su sadržali zlonamerne priloge i na taj način pokušavali da namame neoprezne žrtve da im odaju poverljive podatke koje su oni kasnije koristili kako bi došli do zarade.
Prema podacima kompanije Kaspersky Lab, ovaj talas i-mejlova ciljao je oko 800 računara zaposlenih, s ciljem krađe novca i poverljivih podataka od organizacija, koje su kasnije sajber kriminalci ponovo mogli da koriste za nove napade. I-mejlovi su bili prerušeni u legitimne dopise za nabavku i računovodstvena pisma, koja su sadržala baš one informacije koje su odgovarale profilu napadnutih organizacija i uzimali su u obzir identitet zaposlenog koji je bio njihov primalac. Važno je napomenuti da su se napadači ciljanim žrtvama čak oraćali po imenu. Ovo ukazuje na to da su napadi pažljivo pripremani i da su kriminalci izdvojili vreme da razviju pojedinačno pismo za svakog korisnika.
Kada bi primalac kliknuo na zlonamerni prilog, modifikovani legitimni softver bi se diskretno instalirao na računaru, tako da sajber kriminacli mogu da se na njega povežu i ispitaju dokumenta i softvere u vezi podataka o nabavci i finansijsim i računovodsvenim operacijama. Štaviše, napadači su tražili različite načine za izvršavanje prevara, kao što su promena podataka na platnim računima, kako bi bili u mogućnosti da sami povuku taj novac.
Kad god su kriminalcima bili potrebni dodatni podaci ili mogućnosti, kao što su prava lokalnog administratora ili krađa pristupnih podataka i Windows naloga kako bi zašli dublje u mrežu organizacije, napadači su otpremali dodatne setove malvera, pripremljene za svaku žrtvu ponaosob. Ovo je podrazumevalo i spajvere, dodatne alate za daljinsko izvršavanje koji produbljuju kontrolu napadača nad zaraženim sistemom, malvere – kako bi se iskoristile ranjivosti unutar operativnog sistema, kao i Mimikatz alatku koja omogućava korisnicima da upotrebljavaju podatke sa Windows naloga.
“Napadači su pokazali jasan interes prema ciljanju industrijskih organizacija u Rusiji. Na osnovu našeg dosadašnjeg iskustva, razlog za ovo može biti činjenica da njihov nivo svesti o sajber bezbednosti nije toliko visok kao što je slučaj sa drugim tržištima – kao što su, recimo, finansijke servisi. Ovo čini industrijske organizacije unosnom metom za sajber kriminalce ne samo u Rusiji, već i širom sveta”, izjavio je Vjačeslav Kopejcev (Vyacheslav Kopeytsev), ekspert za sajber bezbednost u kompaniji Kaspersky Lab.
Istraživači kompanije Kaspersky Lab savetuju korisnicima da prate ove ključne mere predostrožnosti kako bi se zaštitili od fišing napada:
-
koristite bezbednosna rešenja sa specijalizovanim funkcionalnostima za detekciju i blokiranje fišing napada. Kompanije mogu zaštiti svoje lokalne i-mejl sisteme pomoću ciljanih aplikacija u okviru rešenja Kaspersky Endpoint Security for Business. Rešenje Kaspersky Security for Microsoft Office 365 pomaže u zaštiti i-mejl servisa Exchange Online, baziranog na cloud sistemima unutar samog rešenja.
- praktikujte inicijative koje će pomoći u podizanju svesti o sajber bezbednosti, uključujući i treninge za procenu nivoa ekspertize i odbranu kroz simulaciju fišing napada. Korisnicima rešenja kompanie Kaspersky Lab preporučuje se upotreba Kaspersky Security Awareness Training usluga.
Da saznate više o finansijskim fišing pretnjama pročitajte blog post dostupan na ICS- CERT.kaspersky.com.