Cyberprzestępcy zaatakowali co najmniej 400 firm przemysłowych

Badacze z Kaspersky Lab wykryli nową falę phishingowych e-maili finansowych podszywających się pod legalne dokumenty księgowe i zakupowe. Za pomocą których cyberprzestępcy zaatakowali dla korzyści finansowych co najmniej 400 organizacji przemysłowych. Seria ataków rozpoczęła się jesienią 2017 r., a ich cel stanowiło kilkaset komputerów firm z różnych branż: od paliwowej i gazowej po metalurgię, branżę energetyczną, budowlaną i logistyczną.

Sposób działania cyberprzestępców sugeruje, że głównym celem ataków były firmy przemysłowe. Rozsyłali oni wiadomości e-mail zawierające szkodliwe załączniki i próbowali nakłonić niczego nieświadome ofiary do ujawnienia swoich poufnych danych, aby móc je następnie wykorzystać do zarabiania pieniędzy.  

Reklama

Według danych działu ICS CERT firmy Kaspersky Lab, celem tej fali wiadomości e-mail było około 800 komputerów pracowniczych atakowanych w celu kradzieży pieniędzy oraz poufnych danych, które miały następnie zostać wykorzystane w kolejnych atakach. Wiadomości e-mail podszywały się pod legalne dokumenty zakupowe oraz księgowe i zawierały treści, które odpowiadały profilowi zaatakowanych organizacji i uwzględniały tożsamość pracownika – odbiorcy wiadomości. Na uwagę zasługuje fakt, że atakujący zwracali się do swoich ofiar po imieniu. To sugeruje, że ataki zostały dokładnie przygotowane, a przestępcy zadali sobie trud stworzenia zindywidualizowanego listu dla każdej ofiary.         

Gdy odbiorca kliknął szkodliwy załącznik, na jego komputerze w dyskretny sposób instalowało się zmodyfikowane legalne oprogramowanie, dzięki czemu przestępcy mogli połączyć się z nim i zbadać dokumenty i narzędzia związane z operacjami finansowymi, księgowymi i zakupowymi. Ponadto atakujący szukali różnych możliwości popełnienia oszustw finansowych.       

Za każdym razem, gdy przestępcy potrzebowali dodatkowych danych lub możliwości - takich jak uzyskanie lokalnych praw administratora czy kradzież danych uwierzytelniających użytkownika oraz kont w systemie Windows - przesyłali do zainfekowanych maszyn dodatkowe zestawy szkodliwego oprogramowania, dostosowane do ataku na konkretną ofiarę. Obejmowały one m.in.:

- oprogramowanie spyware, 

- dodatkowe narzędzia zdalnej administracji, które rozszerzają możliwości kontrolowania zainfekowanych systemów oraz szkodliwego oprogramowania,

- exploity pozwalające na wykorzystanie luk w zabezpieczeniach systemu operacyjnego i zainstalowanych aplikacjach,

- narzędzie Mimikatz, które umożliwia użytkownikom przejęcie danych z kont systemu Windows.     

"Cyberprzestępcy wykazali wyraźne zainteresowanie atakami na firmy przemysłowe. Z naszego doświadczenia wynika, że powodem jest prawdopodobnie niższy poziom świadomości cyberbezpieczeństwa w takich firmach w porównaniu z innymi branżami, np. usługach finansowych. To sprawia, że przedsiębiorstwa przemysłowe stanowią lukratywny cel dla cyberprzestępców" - powiedział Wiaczesław Kopiejcew, ekspert ds. cyberbezpieczeństwa z Kaspersky Lab. 


Reklama

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy

Rekomendacje