Хакеры совершили атаки от имени крупных ритейлеров

Неизвестные атаковали более 50 крупных российских компаний, выдавая себя за представителей известных брендов, в том числе розничных сетей, строительных и нефтяных компаний.

Злоумышленники атакуют с помощью писем с вредоносным содержанием (фишинг), которые приходят по будням в рабочие часы, пояснил РБК Владимир Дрюков, директор Центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Solar». Цель хакеров — заражение инфраструктуры шифровальщиком Shade/Troldesh: программа кодирует файлы на устройстве пользователя и требует у него плату за доступ к ним.

«Мы видим эту атаку почти на всех наших клиентов — это около 50 крупнейших компаний России из самых разных отраслей. Их сотрудники получают по 10–50 писем в день в зависимости от размера организации и количества электронных ящиков корпоративной почты», — отметил В. Дрюков. Обычно частота подобных фишинг-рассылок примерно в три-пять раз ниже. Эксперты Group-IB фиксировали до 2 тыс. рассылок в день. «Рассылки массовые, нецелевые, то есть не специализированы под какую-либо конкретную отрасль, тип организаций или получателя», — добавил директор экспертного центра безопаcности Positive Technologies Алексей Новиков.

Как отмечает представитель «Ростелеком-Solar», киберпреступники направляли письма с вредоносным ПО, в частности, от имени «Ашана», «Магнита», «Славнефти» и ГК «ПИК». «В большинстве случаев используются именно эти бренды, что характерно для фишинга, не таргетированного на конкретную отрасль. Пытаются сделать атаку как можно более массовой и увеличить охват», — пояснил Владимир Дрюков.

Источник на рынке кибербезопасности отметил, что список скомпрометированных компаний шире.