Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вредоносный ответ: эксперты ЦК F.A.C.C.T. обнаружили необычный способ рассылки майнера

19/09/24

ФАККТ-Sep-19-2024-11-41-01-0838-AM
 
Специалисты Центра кибербезопасности компании F.A.C.C.T. зафиксировали новый способ доставки майнера Xmrig —  вредоносного ПО, предназначенного для скрытой добычи криптовалюты Monero  —  при помощи настроенных автоматических autoreply-ответов со скомпрометированных почтовых адресов. Начиная с конца мая схема использовалась для атак на ведущие российские интернет-компании, ритейл и маркетплейсы, страховые и финансовые компании.
 
С конца мая 2024 года система F.A.C.C.T. Business Email Protection заблокировала более 150 вредоносных рассылок, которые отправлялись с почтового сервиса с использованием автоответчика (autoreply) – стандартной функции почтовиков, позволяющей отправлять подготовленное сообщение на все входящие письма.
 
В качестве маскировки атакующие в рассылках использовали вложенный скан счета на оплату оборудования, однако в самих письмах находилась ссылка на вредоносный архив на  облачном сервисе. Отсюда и загружался майнер Xmrig, который поддерживает популярные алгоритмы майнинга и, в основном, используется для добычи монеты Monero. 
 
Поскольку включить функцию автоответчика можно только, обладая доступом к почте, аналитики предположили, что столкнулись с  массовой компрометацией почтовых адресов. В ходе их изучения было выяснено, что все они фигурировали в утечках баз данных, которые содержат в себе учетные данные как в открытом виде, так и в виде хэшей, которые легко подбираются методом радужных таблиц, содержащих заранее просчитанные пароли, так как имеют минимальную длину и личные данные пользователей (имена, фамилии, дары рождения и т.д.).
 
Напомним, что, по данным F.A.C.C.T., в первом полугодии 2024 г. в публичном доступе оказались 150 баз данных российских компаний. Общее количество строк данных пользователей, попавших в утечки в 2024 году, составило 200,5 млн.
 
Среди пользователей, чьи почтовые ящики были скомпрометированы,  были замечены, в основном, физические лица, однако также есть почты арбитражных управляющих, небольших торговых компаний, строительных компаний, мебельной фабрики и фермерского хозяйства.
 
«Данный способ доставки ВПО опасен тем, что потенциальная жертва первая инициирует коммуникацию — вступает в переписку и ждет ответное письмо, — замечает Дмитрий Ерёменко, старший аналитик Центра кибербезопасности F.A.C.C.T. —  В этом состоит главное отличие от традиционных массовых рассылок, где получатель часто получает нерелевантное для него письмо и игнорирует его. В данном случае, хотя письмо не выглядит убедительным, коммуникация уже установлена и сам факт распространения файла может не вызывать особого подозрения, а лишь пробудить интерес у жертвы». 

 

 
Специалисты ЦК рекомендуют пользователям соблюдать правила цифровой гигиены, использовать сложные и уникальные пароли, которые не содержат личной информации и не подверженных атаке по словарю или прямому перебору. Использовать менеджеры паролей (aka KeePass). Установить для аккаунтов, где возможно, второй фактор. 
 
Также во избежание утечек пароля не стоит сохранять пароли в браузерах, устанавливать нелицензионное ПО, потому что оно может содержать стилеры, не переходить по сомнительным ссылкам на почте и не вводить свои данные на сомнительных сайтах (фишинг). Нужно избегать переходов по ссылкам и аутентификаций в мессенджерах, особенно когда просят проголосовать за кого-то или внезапно «выигрывается» денежнаяя сумма и прочие схемы развода и фишинга. 
 
Для защиты от подобно типа атак рекомендуем компаниям 
 
  • Проводить регулярные обучения рядовых сотрудников организации для  повышения знаний об актуальных угрозах в области информационной  безопасности.
  • Иметь строгую парольную политику с многофакторной аутентификацией (MFA) и регулярным обновлением паролей.  
  • Проводить мониторинг фактов компрометации учетных записей корпоративных  пользователей, их публикации или на продажи на теневых площадках. 
  • Защищать корпоративную почту с помощью решений F.A.C.C.T. BEP и F.A.C.C.T. MXDR.
Темы:майнингПресс-релизОтрасльУгрозыF.A.C.C.T.
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Attack Surface Management: с чего начинать управление уязвимостями
    Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
    Attack Surface Management – относительно молодой продукт, он появился в 2021 г. В его основе лежит более ранняя разработка инженеров F.A.C.C.T. – граф сетевой инфраструктуры, который показывает связь между доменами, IP-адресами, сервер-сертификатами, злоумышленниками, ВПО и другими цифровыми сущностями в глобальном Интернете.
  • Cyber Defence Center: лучше и эффективнее традиционных SOC
    Ярослав Каргалёв, руководитель Центра кибербезопасности F.A.C.C.T.
    Cyber Defence Center, который является новым поколением SOC, сами проводят реагирование на инциденты и ведут проактивный поиск киберугроз в инфраструктуре
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...