Seria de atacuri a început în toamna anului 2017 și a vizat câteva sute de PC-uri din companii, din domenii precum petrol și gaze, metalurgie, energie, construcții și logistică.
Cu aceste email-uri, infractorii nu au atacat din întâmplare companii din domeniul industrial, printre alte organizații, ci le-au avut ca principală țintă. Infractorii au trimis email-uri care conțineau fișiere infectate, încercând să păcălească victimele să dezvăluie informații confidențiale, pe care să le valorifice apoi pentru a obține câștiguri financiare.
Potrivit datelor Kaspersky Lab, acest val de email-uri a vizat în jur de 800 de PC-uri ale angajaților, cu scopul de a fura bani și informații confidențiale de la organizații, care să poată fi ulterior folosite în noi atacuri.
Phishing mascat în scrisori contabile și de achiziții
Email-urile erau „deghizate” în scrisori contabile și de achiziții, cu un conținut adecvat profilului organizației vizate și luau în calcul identitatea angajatului – destinatarul mesajului. Este demn de remarcat că atacatorii se adresau victimei pe numele său, ceea ce sugerează faptul că atacurile au fost atent pregătite, iar infractorii și-au făcut timp să creeze o scrisoare personalizată pentru fiecare utilizator.
Atunci când destinatarul dădea click pe fișierele infectate, un soft legitim modificat era instalat discret pe computer, astfel încât infractorii să se poată conecta la el și să examineze documentele și software-ul legate de procesele de achiziții, financiare și de contabilitate. Mai mult, atacatorii căutau diferite modalități de a comite fraude financiare, cum ar fi să schimbe datele din facturi pentru a retrage bani, în beneficiul lor.
De fiecare dată când infractorii aveau nevoie de date sau resurse suplimentare, cum ar fi să obțină drepturi de administrator sau să fure date de autentificare și conturi Windows, încărcau alte seturi de malware, pregătite individual pentru fiecare victimă. Acestea includeau spyware, instrumente de administrare de la distanță, care extind controlul atacatorilor asupra sistemelor infectate și malware care să exploateze vulnerabilitățile din sistemul de operare, precum și instrumentul denumit Mimikatz, care le permite utilizatorilor să obțină date din conturile Windows.
„Atacatorii au demonstrat un interes clar pentru companiile industriale din Rusia. Pe baza experienței noastre, este posibil ca acest amănunt să se datoreze faptului că nivelul lor de conștientizare în domeniul securității cibernetice nu este la fel de mare ca pe alte piețe, cum ar fi serviciile financiare”, spune Vyacheslav Kopeytsev, security expert la Kaspersky Lab.
„Aceasta înseamnă că organizațiile din domeniul industrial sunt o țintă profitabilă pentru infractorii cibernetici – nu doar în Rusia, ci în toată lumea.”