Российские IT-компании подверглись атаке кибершпионов, массовые инциденты зафиксировала «Лаборатория Касперского». Злоумышленники используют кадровые службы, которым рассылают письма якобы от соискателей или проверяющих организаций. В сообщениях есть ссылки на резюме или другие файлы. Но после скачивания вместо указанных документов запускается вредоносная программа для кражи данных.
Часто шпионы используют образ красавицы с большим карьерным потенциалом, рассказала эксперт по кибербезопасности в «Лаборатории Касперского» Виктория Власова: «Злоумышленники несколько меняют схему. При последней атаке, которую мы видели в апреле, это было письмо-обманка, рассылаемое сотрудникам и выполненное под видом резюме девушки, которая сообщает, что работала моделью и хочет найти должность в компании в роли секретаря или ассистента. Предполагается, что во вложении содержатся какие-то привлекательные фотографии этой симпатичной девушки.
Такой файл был призван вызвать интерес сотрудников, которые захотят открыть эти вложения и посмотреть, что же там за соискательница пытается получить работу.
Вместе с тем предыдущие рассылки содержали письма, имитирующие обращения разных государственных органов, в которых сообщается, что якобы существуют какие-то вопросы или что компании требуется ознакомиться с какими-то документами во вложении».
Целью кибератак стали российские компании из IT-сферы и финансов, уточнили в «Лаборатории Касперского». Весной 2024-го было заблокировано несколько сотен сообщений, содержащих вредоносные ссылки. Охотятся шпионы на конфиденциальные документы и пароли из браузеров. Причем программа может собирать файлы по ключевым словам или фильтровать по типу расширения, пояснил директор по работе с государственным сектором компании «Алгоритмика» Станислав Косарев:
«Хакеры хотят получить критически важную информацию внутри организации: какие-то корпоративные данные, финансовые отчеты, личные данные сотрудников.
Потом через какое-то время, если мошенники эти сведения получают, то выходят на руководство компании и предлагают за деньги им их вернуть. Это первый сценарий. Второй: они просто эту информацию начинают продавать на черном рынке, потому что преступность перетекла в сферу интернета, она становится технологичной.
По мере развития технологий искусственного интеллекта, генеративных нейронных сетей, мы все чаще сталкиваемся с технологией дипфейк. В этом случае вы получаете, например, аудио- или видеосообщение, которое на самом деле сгенерировано, по сути, нейронной сеткой. Важно в наше время быть максимально бдительным и каждый раз все перепроверять».
Как и зачем злоумышленники создают дипфейки
Зачастую кибератаки на российские коммерческие компании идут из-за границы. Службам безопасности следует установить дополнительные системы контроля, советует генеральный директор компании «Киберполигон» Лука Сафонов:
«Для этого внедряются системы периметрового контроля, так называемые песочницы, когда письмо сначала попадает не к HR-специалисту или бухгалтеру, а в специализированную среду. Там оно исследуется автоматизированными средствами, иллюстрируется, скажем так, работникам службы информационной безопасности, и только после того, как возникает уверенность, что там ничего вредоносного нет, оно направляется адресату.
Мы фиксируем ежедневные атаки на отечественные ресурсы из-за пределов России. Я бы не сказал, что это атака на денежные средства: что делать с рублями, куда они их выведут? Это, скорее всего, атаки, нацеленные на похищение каких-то технологических секретов, коммерческой тайны, условий работы российских компаний с дружественными государствами».
Одно из крупных киберпреступлений было раскрыто в январе 2024-го. МВД задержало трех участников хакерской группировки SugarLocker. Они работали под вывеской обычной IT-компании и распространяли вредоносное программное обеспечение, создавали фишинговые сайты и нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы.
Источник: Коммерсантъ