«Лаборатория Касперского» сообщила о новой схеме атак на российские компании под видом правоохранительных органов
В России зафиксирована новая схема атак на крупные организации, целью которой является запуск вредоносной программы сотрудниками компаний. Как сообщили SecPost в «Лаборатории Касперского», злоумышленники рассылают на корпоративную почту письма якобы от правоохранительных органов с уведомлением о необходимости провести техническое исследование автоматизированного рабочего места (АРМ) в связи с предполагаемым инцидентом информационной безопасности.
Пользователь получает письмо с одним или несколькими PDF-документами, в которых может содержаться «уведомление об инциденте информационной безопасности» или «постановление о проведении доследственной проверки по факту незаконной передачи данных». При этом жертву просят не разглашать информацию о проверке третьим лицам.
В одном из сценариев атакуемому предлагается заполнить анкету с большим количеством вопросов — о рабочем устройстве, действиях в определённые даты, возможных сбоях компьютера, а также указать личные данные и сообщить, использовались ли на устройстве программы удалённого управления или средства обхода блокировок. В письме также может быть PDF-файл — заявление, подписав которое человек якобы добровольно соглашается на «техническое исследование» рабочего компьютера.
После заполнения документов жертве направляют ещё одно письмо с программой, которую требуется запустить для проведения исследования. Как сообщили в компании, фактически это троян. После попадания в корпоративную сеть злоумышленник производит разведку устройств в сети организации с целью шифрования инфраструктуры и требования выкупа.
В «Лаборатории Касперского» отметили, что рассылаемые документы содержат профессиональную терминологию и детали, характерные для официального документооборота: ссылки на законодательство, регистрационные номера, даты, подписи и визуальные элементы вроде герба. Это делает атаку особенно убедительной для сотрудников, не сталкивавшихся с подобными процедурами.
В компании также добавили, что ранее подобные сценарии с действиями под видом правоохранителей были характерны для телефонного мошенничества и нацелены в основном на частных пользователей. Теперь эти методы начинают использоваться в атаках на организации: вредоносные рассылки мимикрируют под процедуру реагирования на инциденты ИБ с исследованием рабочего устройства сотрудника.
Сотрудникам рекомендуется не открывать вложения и не запускать программы из писем, связанных с «проверками», «расследованиями» или срочными запросами от неизвестных отправителей, а также перепроверять подобные обращения через внутренние службы безопасности компании.
