Хакеры маскируются под Интерпол и рассылают компаниям заражённые вирусами архивы

изображение: grok
Новая волна фишинга эксплуатирует авторитет Интерпола для запуска программ-вымогателей на устройствах сотрудников компаний. Получатели видят письмо с обвинениями в подозрительной деятельности и предложением срочно изучить материалы, а переход по вложенной ссылке приводит к шифрованию данных. Атака затронула преимущественно малый бизнес в Европе, Северной Америке, Азии и на Ближнем Востоке, и подобные приёмы уже фиксируются в почтовых потоках российских пользователей.
Специалисты лаборатории Bitdefender Antispam Lab зафиксировали рассылку, авторы которой представляются сотрудниками несуществующего подразделения Интерпола под названием «Отдел расследования киберпреступлений». Жертве сообщают, что её организация якобы упомянута в материалах по делу о мошенничестве, и просят открыть приложенные документы для ознакомления с доказательствами. Расчёт строится на страхе перед международной правоохранительной структурой и желании быстро прояснить ситуацию.
Стоит обратить внимание на то, что схема опирается не на технические уязвимости, а на психологическое давление и репутацию известной организации.
Ссылка ведёт не на обычное вложение, а на облачное хранилище Proton Drive, где размещён запароленный архив. Сам пароль указан прямо в письме, чтобы у получателя не возникло затруднений при распаковке. Внутри лежит файл, замаскированный под видеозапись, а фактически представляющий собой исполняемый компонент шифровальщика.
Под удар попали организации из разных отраслей, которые Bitdefender объединил в отдельный перечень:
- пищевая промышленность и агросектор;
- юридические конторы и адвокатские бюро;
- фармацевтические производители;
- медиакомпании и редакции СМИ;
- финансовые структуры и технологические фирмы.
Отдельного внимания заслуживает поведение вымогателя после шифрования файлов. Фиксированной суммы выкупа злоумышленники не называют, ограничиваясь инструкцией связаться с ними через защищённый мессенджер Tox для дальнейших переговоров. Аналитик по безопасности Bitdefender Алина Бизга рассказала, что подобный метод коммуникации набирает популярность у операторов программ-вымогателей и позволяет им подстраивать требования под каждую жертву индивидуально.
Размер выкупа при этом рассчитывается по нескольким параметрам, которые преступники оценивают уже после первого контакта с пострадавшей стороной:
- масштаб бизнеса и годовой оборот компании;
- ценность зашифрованных или похищенных сведений;
- предполагаемая платёжеспособность организации;
- готовность руководства идти на переговоры;
- наличие у фирмы киберстрахования.
Технический разбор образца преподнёс исследователям сюрприз. Шифровальщик оказался заметно проще большинства известных представителей этого класса вредоносного ПО и не относится ни к одному описанному семейству вымогателей. Вместо развитой системы управления ключами и модульной архитектуры разработчики зашили параметры работы прямо в код программы, что нехарактерно для инструментов крупных группировок вроде LockBit или Cl0p.
Отмечается, что примитивность реализации может свидетельствовать о разработке инструмента под конкретную кампанию, а не о заимствовании готового решения у известных операторов.
Алина Бизга допускает, что за рассылкой стоит небольшая команда, собравшая вредоносную программу под свои задачи с нуля. Такой подход снижает риск быстрого обнаружения по сигнатурам известных семейств и усложняет атрибуцию атаки к конкретной группировке. Одновременно упрощённая архитектура повышает вероятность ошибок в работе шифровальщика, из-за которых часть данных может быть восстановлена без уплаты выкупа.
Для распознавания подобных писем аналитики Bitdefender советуют опираться на несколько простых признаков:
- отправитель ссылается на несуществующие подразделения известных ведомств;
- в письме нагнетается срочность и упоминается уголовное преследование;
- вложение размещено на стороннем облачном сервисе, а не приложено напрямую;
- архив защищён паролем, который указан в том же письме;
- медиафайл имеет расширение исполняемого файла или двойное расширение.
Проверять подобную корреспонденцию рекомендуется исключительно через официальные каналы связи предполагаемого отправителя. Международные правоохранительные органы практически никогда не рассылают компаниям электронные письма с просьбой открыть запароленный архив в облачном сервисе для изучения материалов расследования, и эта деталь чаще всего позволяет вовремя распознать мошенническую рассылку. Российских пользователей описанная схема тоже затрагивает напрямую, поскольку почтовые фильтры далеко не всегда блокируют письма от имени международных структур, а сотрудники компаний реагируют на такие обращения максимально быстро и без должной проверки.
При этом в начале июня CISOCLUB уже писал о том, что аналитики Т-Банка зафиксировали резкий рост повторных мошеннических атак на людей, уже потерявших деньги в инвестиционных схемах. По итогам второго квартала 2026 года число подобных попыток обмана увеличилось в два раза по сравнению с аналогичным периодом прошлого года. Злоумышленники представляются сотрудниками Интерпола и правоохранительных органов, обещают помочь вернуть похищенные средства, но в действительности используют доверие пострадавших для нового мошенничества.
Эксперты редакции CISOCLUB отмечают, что описанная кампания демонстрирует общую тенденцию последних месяцев, когда злоумышленники всё реже вкладываются в сложные технические разработки и всё чаще делают ставку на социальную инженерию. Подмена отправителя под известную международную структуру работает эффективнее любой сложной уязвимости, потому что бьёт по эмоциональной реакции человека, а не по программной логике почтового клиента.
Российским компаниям стоит заранее готовить сотрудников к подобным сценариям через регулярные учения и симуляции фишинга, поскольку именно рядовой персонал остаётся первой линией обороны. Отдельного внимания заслуживает практика переноса переговоров о выкупе в защищённые мессенджеры вроде Tox, что серьёзно осложняет работу следователей и переговорщиков со стороны бизнеса. Редакция полагает, что уже в ближайшее время появятся подражатели, эксплуатирующие имена других известных ведомств, и к этому нужно готовиться заранее, обновляя политики фильтрации почты и правила проверки вложений.



