BI.ZONE: злоумышленники чаще всего атакуют российские компании с помощью троянов удаленного доступа и стилеров
05/11/24
Трояны удаленного доступа (RAT) используются более чем в половине атак. Еще в 29% случаев злоумышленники применяют стилеры для кражи чувствительной информации. Тройку лидеров замыкают загрузчики ВПО, которые используются в 16% атак.
Стилеры позволяют киберпреступникам получать сведения о скомпрометированных устройствах, включая версию ОС и информацию об оборудовании, а также данные из криптокошельков, почтовых клиентов, браузеров и других приложений, в том числе логины и пароли. При этом полученный аутентификационный материал может в дальнейшем использоваться для более сложных целевых атак на скомпрометированные организации.
Наиболее популярные стилеры — это FormBook (29%), SnakeLogger (23%), Rhadamantys (17%) и PureLogs Stealer (11%). Пятерку лидеров замыкает MetaStealer, который используется почти в 10% атак. Фактически это аналог популярного стилера RedLine, который отличается отсутствием ограничений на использование против компаний из России и других стран СНГ.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
Отсутствие запрета от разработчиков MetaStealer на применение против российских организаций — важное преимущество для злоумышленников. Например, этот стилер охотно использует группировка Venture Wolf, нацеленная на промышленность, строительство, IT, телеком и некоторые другие отрасли. Злоумышленники активны с ноября 2023 года и провели не менее 10 кампаний против российских организаций. Для доставки MetaStealer группировка рассылает фишинговые письма с архивами. В них содержится загрузчик с расширением .com (реже — .exe), который после запуска внедряет стилер на устройство жертвы.
В качестве отвлекающих документов Venture Wolf нередко использует карточки организаций, в которых указаны реквизиты и адреса компаний. Многие злоумышленники прибегают к такому приему, поскольку использование информации о реальных организациях делает фишинговое письмо более правдоподобным и вызывает доверие у пользователя. Важно помнить, что обладатели торговых марок не несут ответственности за действия киберпреступников и причиненный в результате ущерб.
Злоумышленники рассылают электронные письма с архивом, который содержит загрузчик и несколько фишинговых документов. После того как жертва открывает вложение, происходит расшифровка и загрузка стилера.
Фишинговые рассылки — один из наиболее распространенных способов получения первоначального доступа в IT-инфраструктуру. Решения для защиты электронной почты, например BI.ZONE CESP, помогут обезопасить корпоративную почту от вредоносных писем за счет механизмов фильтрации и технологий машинного обучения.
Чтобы получать информацию о наиболее актуальных для компании угрозах, рекомендуется использовать порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные позволят обеспечить бесперебойную работу СЗИ и ускорить реагирование на инциденты.