МОСКВА, 18 фев — Специалисты центра расследования киберинцидентов JSOC CERT (принадлежит компании «Ростелеком-Солар») зафиксировали резкий рост редкого типа атак на банки РФ и энергетическую отрасль страны. Об этом JSOC CERT сообщает во вторник.

Поясняется, что цепочка вредоносной активности включает четыре этапа. Это дает хакерам получить контроль в инфраструктуре организации, при этом оставаясь незаметными для средств защиты.

Многокомпонентная атака начинается с фишинговой рассылки офисных документов сотрудникам банков и энергетических компаний. Сообщения рассылаются от имени других отраслевых организаций.

«При открытии вложения из него извлекается и запускается исполняемый файл, который обращается к популярному хостингу открытого кода pastebin.com. Оттуда запускается участок кода, который, в свою очередь, отправляет команду о скачивании на атакуемый компьютер картинки с сервиса по обмену изображениями imgur.com … В изображение, загружаемое с imgur.com, встроено вредоносное ПО, позволяющее хакерам собрать и отправить на свои серверы полную информацию о жертве», — сообщает компания.

Если полученные данные заинтересуют злоумышленников, то они могут начать загрузку вирусов для кражи документов и коммерческого кибершпионажа (в случае с энергетическими компаниями), либо начать вывод денежных средств (если речь идет о банках).

Хакеры также могут монетизировать свои действия, продавая сами точки присутствия в инфраструктуре организаций.

По статистике «Ростелеком-Солар», около 80% таких атак было направлено на банки. В оставшихся 20% случаев, которые пришлись на энергетику, хакеры действовали более активно: специалистам из этой отрасли было отправлено порядка 60% от общего числа фишинговых писем. Качество рассылок также говорит о более тщательной подготовке со стороны злоумышленников.

По словам руководителя центра JSOC CERT компании «Ростелеком-Солар» Игоря Залевского, стилистика таких атак похожа на поведение хакерской группировки Silence, которая до недавнего времени специализировалась исключительно на банках. «То есть либо Silence осваивает новые отрасли и способы зарабатывания денег, либо появилась новая, очень профессиональная группировка, которая удачно имитирует код Silence», — прокомментировал он.

JSOC CERT отмечает,  что такой механизм доставки вредоносного ПО до конечной точки встречается крайне редко и обычно свидетельствует о целенаправленной атаке. Автоматизированные средства защиты — антивирусы и песочницы — не могут обнаруживать подобные инциденты, т.к. рассчитаны на выявление атак из одного – максимум двух этапов.

Эксперты компании советуют в этих условиях службам безопасности бизнеса особенно внимательно подойти к вопросу повышения киберграмотности сотрудников.