«Лаборатории Касперского»: хакеры теперь приходят в офисы российских компаний под видом следователей

Российские компании столкнулись с новой схемой атак, где злоумышленники маскируются под правоохранительные органы и требуют от сотрудников якобы провести техническое исследование рабочего компьютера. По данным «Лаборатории Касперского», на корпоративную почту приходят письма с PDF-документами, имитирующими официальную проверку по инциденту ИБ. Настоящая цель рассылки состоит в запуске сотрудником вредоносной программы для последующей разведки сети и подготовки к шифрованию инфраструктуры.

Схема построена на приёмах, раньше характерных для телефонного мошенничества. Человеку создают ощущение срочности, официального давления и запрета на обсуждение происходящего с коллегами. Вместо звонка от «следователя» или «сотрудника ведомства» используется корпоративное письмо с оформлением под официальный документооборот.

Интересно, что мошенники впервые перенесли в корпоративную почту приёмы из телефонных схем против пенсионеров и научились копировать стиль официальных проверок.

Пользователь получает сообщение с 1 или несколькими PDF-файлами. В них может оказаться «уведомление об инциденте информационной безопасности» или «постановление о проведении доследственной проверки по факту незаконной передачи данных». Адресата просят не разглашать информацию о проверке другим лицам. Подобный элемент особенно опасен для компаний, поскольку сотрудника заранее отрезают от внутреннего отдела ИБ.

В одном из вариантов атаки человеку предлагают заполнить подробную анкету с целым набором вопросов:

• характеристики рабочего устройства сотрудника;
• действия пользователя в определённые даты;
• сбои в работе компьютера и установленных программ;
• список используемого на машине ПО;
• личные данные сотрудника;
• факты применения средств удалённого управления;
• использование сервисов обхода ограничений.

В письме может быть ещё один PDF-документ с заявлением о добровольном согласии на «техническое исследование» автоматизированного рабочего места. По замыслу атакующих, сотрудник должен поверить в участие в официальной процедуре. После заполнения документов ему присылают новую инструкцию и программу для запуска якобы для проверки компьютера.

Файл является троянской программой. После запуска вредоносная программа попадает в корпоративную сеть и помогает злоумышленникам изучать устройства внутри организации. Дальнейшая цель связана с подготовкой к шифрованию инфраструктуры компании и требованию выкупа.

Убедительность атаки усиливается за счёт оформления документов. В них применяются несколько визуальных приёмов:

• профессиональные юридические термины;
• ссылки на действующее законодательство;
• регистрационные номера документов;
• даты с печатями и подписями;
• герб и официальная символика.

Для сотрудника без опыта столкновения с доследственными проверками подобные бумаги выглядят правдоподобно.

Главный эксперт «Лаборатории Касперского» Сергей Голованов отметил перенос схем с имитацией представителей правоохранительных органов из телефонного мошенничества в корпоративный сектор. По словам Сергея Голованова, рассылки копируют процедуру реагирования на инциденты ИБ с исследованием рабочего устройства сотрудника, из-за чего человек может нарушить внутренние правила и не сообщить о происходящем своей службе защиты.

Опасность кроется в психологическом давлении. Сотрудник может решить, что отдел ИБ в компании не должен знать о проверке, поскольку в письме прямо просят соблюдать конфиденциальность. В нормальной корпоративной процедуре любые внешние запросы про устройства, данные, доступы и расследования должны проходить через юридическую службу, ИБ-команду и руководство.

По словам ИБ-экспертов, схема работает без сложного технического взлома, поскольку жертва сама запускает троянец, заполнив несколько правдоподобных PDF-форм.

Для атакующих такой способ удобен отсутствием сложного технического взлома на первом шаге. Достаточно убедить человека открыть документы, заполнить анкету и запустить файл. Жертва сама даёт злоумышленникам точку входа в инфраструктуру. Классическая социальная инженерия адаптирована под корпоративный контекст и процедуру реагирования на инцидент.

Эксперты рекомендуют сотрудникам соблюдать несколько простых правил при получении подозрительных писем:

• не открывать вложения с темами проверок и расследований;
• не запускать программы из писем от неизвестных отправителей;
• проверять любое подобное обращение через внутренние службы;
• не верить требованиям молчать о проверке от коллег;
• не заполнять документы с личными данными по просьбе из почты.

Ранее сообщалось о росте доли атак на российские компании с целью шпионажа до 42%. Злоумышленников всё больше интересует не только разовый выкуп, но и конфиденциальная информация — технологические разработки, клиентские базы, финансовые данные, логистические цепочки и внутренняя документация.

Эксперт отдела анализа и оценки цифровых угроз Infosecurity, входящей в «Софтлайн Решения», ГК Softline, Александр Двоеложков ранее объяснял восприятие бизнесом корпоративных атак через призму ransomware. Сейчас ценность для атакующих представляет сама информация, пригодная для продажи, давления или дальнейших атак.

В новой рассылке от имени псевдоправоохранителей видны 2 мотива. Первый связан с доступом к устройству и дальнейшим движением по сети для шифрования. Второй связан со сбором сведений о рабочей машине, действиях сотрудника, используемых программах и возможных средствах удалённого управления.

Эксперты редакции CISOCLUB отмечают, что новая схема показывает зрелость социальной инженерии в корпоративном секторе. По мнению редакции, злоумышленники уже не рассылают грубые фишинговые письма, а копируют язык проверок, расследований и ИБ-процедур. Эксперты заявили, что компаниям пора обучать сотрудников простому правилу. Любые внешние требования запустить программу, передать данные или провести «исследование» рабочего места должны проверяться внутри организации, даже при официальном виде письма и требовании молчания.