Чем опасны для бизнеса хакеры-недоучки?
Недавно была обнаружена ранее неизвестная группа с названием Fluffy Wolf, которая активно действует уже с 2022 года и провела более 140 атак на российские компании. Участники этой группировки не обладают высоким уровнем технических знаний, но для достижения своих целей им хватает всего лишь двух инструментов: законных средств удаленного доступа и дешевого коммерческого вредоносного ПО. Чтобы получить начальный доступ к системе, киберпреступники отправляют фишинговые письма с приложениями, которые замаскированы под акты сверки.
Для злоумышленников преимущество такой схемы заключается в ее простоте, низкой себестоимости, а также эффективности: около 5% сотрудников российских компаний открывают вредоносные вложения и переходят по ссылкам из фишинговых писем. При этом обеспечить большое покрытие рассылки не составляет технической сложности, а даже одного такого открытого письма достаточно для компрометации целой инфраструктуры. Именно поэтому фишинг используется в 68% всех целевых атак на организации.
В одной из последних кампаний злоумышленники от имени строительной организации рассылали фишинговые письма с темой «Акты на подпись». К письму прилагался архив, в названии которого был пароль, а внутри — вредоносный файл под видом документа. Когда пользователь его открывал, на устройство устанавливались две программы: Meta Stealer — коммерческое ВПО, предназначенное для кражи данных, а также легитимное средство удаленного доступа Remote Utilities. Так преступники получали полный контроль над компьютером жертвы и могли отслеживать действия пользователя, передавать файлы, выполнять команды, работать с диспетчером задач.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence: «Злоумышленники приобретают Meta Stealer на теневых форумах или в специальном телеграм-канале. Арендовать [ПО] можно за 150 долларов, приобрести постоянную лицензию — за 1000. Стоимость лицензий на легитимное ПО Remote Utilities зависит от задач покупателя и варьируется от 29 до 12 000 долларов, но есть возможность воспользоваться бесплатной базовой версией. Все это делает себестоимость атаки крайне низкой».
Ранее Fluffy Wolf также применяла другие вредоносные программы, в том числе платный троян удаленного доступа WarZone RAT, который позволял злоумышленникам получить контроль над компьютером жертвы. В некоторых случаях преступники устанавливали на скомпрометированные устройства майнер XMRig — программный инструмент для добычи криптовалют.
Группировки крадут аутентификационные данные с разными целями – например, ради перепродажи доступов другим киберпреступникам. Те применяют полученную информацию для атак по различным сценариям, в том числе используют шифровальщики и требуют выкуп за восстановление доступа к инфраструктуре. В 2023 году максимальная сумма выкупа, которую злоумышленники пытались запросить у российской компании, составила 5 миллионов долларов.
Чтобы максимально обезопасить компанию от атак, выстроенных по схеме Fluffy Wolf, необходимо сочетать несколько классов решений. Сервисы для фильтрации нежелательной почты помогут защититься от фишинга. Если фишинговая ссылка все же попадет к пользователю, и он попытается перейти на вредоносный домен, современные решения для защиты DNS-трафика не дадут установить соединение с сервером злоумышленников. Такие решения интегрированы с платформами киберразведки (threat intelligence, TI) и получают оттуда актуальную информацию о вредоносных доменах.
Платформы TI, в свою очередь, предоставляют актуальные данные о ландшафте угроз: активности группировок, тактиках и техниках злоумышленников, применяемом ВПО и эксплуатируемых уязвимостях. И благодаря этой информации, компании используют для выстраивания кибербезопасности и принятия стратегических решений.