05/11/25
.jpg?width=380&height=253&name=1%20(9).jpg)
Специалисты Proofpoint сообщили, что с начала 2025 года активно действует преступная группа, нацеленная на транспортные и логистические компании в Северной Америке. Получив доступ к системам перевозчиков, злоумышленники участвуют в реальных тендерах на перевозку товаров, выигрывают заказы и перепродают товары онлайн или отправляют за рубеж, пишет Securitylab.
По данным Proofpoint, речь идёт не об изолированных атаках, а о целой серии кампаний, в которых цифровые методы служат прикрытием для традиционного криминального бизнеса. Всё начинается с социальной инженерии: злоумышленники взламывают аккаунты брокеров на специализированных площадках, где публикуются заказы на перевозку, размещают поддельные объявления и рассылают письма с вредоносными ссылками перевозчикам, откликнувшимся на фальшивый заказ. Другой приём — перехват реальной переписки: используя украденные учётные записи, они вставляют в существующие диалоги вредоносные ссылки. Иногда применяются и массовые рассылки с фишинговыми сообщениями, направленные на крупные транспортные корпорации и брокеров.
Когда получатель письма загружает файл, на его компьютер устанавливается программное обеспечение удалённого администрирования (RMM) — например, ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able или LogMeIn Resolve. Эти легитимные инструменты применяются в обычных компаниях для обслуживания сетей, поэтому пользователи часто не подозревают об опасности. В некоторых случаях PDQ Connect автоматически загружает и запускает другие программы, такие как ScreenConnect или SimpleHelp. После установки злоумышленники проводят разведку сети, собирают учётные данные с помощью утилит вроде WebBrowserPassView и углубляют доступ к инфраструктуре жертвы.
RMM-инструменты становятся всё более популярными в киберпреступной среде. В отличие от традиционных вредоносов, они позволяют действовать незаметнее: подписанные инсталляторы не вызывают подозрений у антивирусов, а сетевой трафик выглядит легитимно. Используя эти средства, злоумышленники могут управлять заражёнными системами, стирать заказы, перенаправлять уведомления диспетчеров и даже бронировать перевозки от имени настоящих компаний. Proofpoint приводит пример, когда через подобную схему преступники добавили своё устройство в систему связи перевозчика, аннулировали реальные рейсы и организовали новые — уже для собственных целей.
По наблюдениям исследователей, активность группы прослеживается минимум с июня 2025 года, а её инфраструктура и методы указывают на возможную связь с более ранними кампаниями, идущими с января. В прошлом Proofpoint уже фиксировала аналогичные случаи, когда мошенники под видом логистических компаний похищали медицинское оборудование и электронику. Нынешние атаки, вероятно, имеют ту же основу, но теперь применяются современные средства удалённого управления, а не классические трояны вроде NetSupport или DanaBot.
Судя по масштабам, злоумышленники действуют оппортунистически: жертвами становятся и небольшие семейные компании, и крупные перевозчики. Proofpoint зафиксировала около двух десятков кампаний только за август и сентябрь, с числом писем от нескольких штук до тысячи и более. Для обмана жертв преступники создают сайты, маскирующиеся под известные бренды или транспортные порталы, чтобы повысить доверие. Их цель — получить контроль над учётными записями компаний, чтобы затем участвовать в тендерах и оформлять перевозки, которые можно перехватить.
Масштаб потерь от подобных схем огромен. Национальное бюро страховых преступлений США оценивает ежегодные убытки от краж грузов в 34 миллиарда долларов. При этом 2024 год принёс рост таких преступлений на 27 %, а в 2025-м показатель, по прогнозам, вырастет ещё на 22 %. Особенно уязвимыми становятся отрасли, прошедшие цифровую трансформацию: автоматизация и электронные системы бронирования упрощают жизнь логистам, но открывают новые лазейки для преступников. Теперь, чтобы украсть груз, не нужно проникать на склад — достаточно перехватить электронный заказ и управлять маршрутом удалённо.
Подобные схемы наблюдаются не только в США. По данным Munich RE, крупные очаги краж грузов есть в Бразилии, Мексике, Индии, Германии, Чили и Южной Африке. Наиболее часто похищают продукты питания, напитки и электронику. Цифровые мошенники объединяются с традиционными преступными сетями, которые обеспечивают транспорт, хранение и перепродажу украденных товаров.
