Эксперты Group-IB сообщают о росте числа программ-шпионов во вредоносных рассылках о коронавирусе. Между тем, на хакерских форумах мнения об эксплуатации волнений, связанных с пандемией, разделились: часть киберпреступников стремится заработать, предлагая промо-акции на свои услуги, а другие представители даркнета осуждают подобные кампании.
Самыми популярными вредоносными программами, которые злоумышленники используют в своих фишинговых рассылках на тему коронавируса, стали программы-шпионы, второе место занимают бэкдоры, на тертьем месте — вирусы-шифровальщики. Из шпионского ПО наиболее востребованными у мошенников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%).
Шпионские программы могут собирать данные о системе, а после чего загружать и запускать другие вредоносные файлы, делать скриншоты, фиксировать нажатие клавиш на клавиатуре, похищать данные пользователей: логины, данные банковских карт, пароли из браузеров, почтовых и FTP-клиентов, и т.д.
Хакеры направляли письма на русском и английском языках от имени авторитетных международных организаций, связанных со здравохранением, а также крупных российских и международных компаний.
К примеру, 16 марта специалисты Group-IB зафиксировали новую вредоносную рассылку якобы от лица UNICEF — международной организации, действующей под эгидой ООН. В письме была ссылка на информационное приложение, при помощи которого пользователи, якобы, могли получать обновления о ситуации с коронавирусом. В приложении был троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона.
Злоумышленники на хакерских форумах стремятся использовать панические настроения, чтобы поднять свои продажи вредоносных программ. Например, с февраля на хакерском форуме продается вредонос, замаскированный под интерактивную карту распространения COVID-19. Распространяется через рассылку, и, как уверяет продавец, обходит защиту Gmail. После заражения пользователю открывается карта с актуальными данными ВОЗ и Университета Джона Хопкинса, а параллельно загружается любая полезная нагрузка, например, вредоносная программа для кражи данных.
Кроме того, эксперты Group-IB Threat Hunting Intelligence зафиксировали более 500 объявлений на андеграундных площадках со скидками и промокодами на период пандемии на услуги DDoD, спам-рассылок и т.д.
Впрочем, не все представители андеграунда пытаются заработать на новостной повестке, связанной с пандемией. Часть из них осуждают эксплуатацию коронавирусной тематики во вредоносных кампаниях.
Некоторые хакерские группы пообещали, что не будут атаковать медицинские организации, пока пандемия будет продолжаться. Недавно журналисты издания BleepingComputer обратились к некоторым хакерским группам, использующих вирусы-вымогатели (типа WannaCry) для получения выкупа от организаций по всему миру.
Операторы шифровальщиков DoppelPaymer и Maze объявили, что не станут атаковать медицинские учреждения до окончания пандемии коронавируса. Другие группировки, впрочем, не собираются играть в благородство.
В DoppelPaymer упомянули, что, как правило, они не нападают на больницы и дома престарелых и будут придерживаться этой политики во время глобального кризиса. Группа заявила, что в случае, если медицинская организация получит зашифрованные данные, жертва может связаться с ними по электронной почте или на веб-странице Tor, чтобы предоставить доказательства и получить инструменты для разблокировки компьютера.
Правда, акция невиданной щедрости хакеров не распространяется на фармацевтические компании. Представители DoppelPaymer считают, что фирмы зарабатывают на панике уйму денег, поэтому у хакеров нет никакого желания их поддерживать в этом.
Операторы шифровальщика Maze сообщили, что прекратят активность относительно любых медицинских организаций и учреждений вплоть до окончания пандемии. Также группировка Maze предложила скидки на расшифровку данных пострадавшим организациям.
В связи с тем, что многие компании из-за угрозы коронавируса перевели своих сотрудников на удаленный режим работы, эксперты прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети.
Глава CERT-GIB Александр Калинин говорит, что злоумышленники могут атаковать в первую очередь именно пользователей на “удаленке”, чтобы добраться до инфраструктуры компании. Наиболее подвержены риску стать мишенью хакеров сотрудники финансовых учреждений, телеком-операторов и IT-компаний. При этом злоумышленники могут не только украсть деньги или персональные данные, но и проникнуть в корпоративную инфраструктуру через личный компьютер жертвы.
Эксперты Group-IB советуют защитить двухфакторной аутентификацией все учетные записи электронной почты удаленных сотрудников, в мессенджерах и при VPN-подключении. Специалисты призывают не загружать и не открывать корпоративные файлы на личных устройствах, не переходить по ссылкам в подозрительных сообщениях от незнакомых адресатов.
Источник: Vesti.ru