Компания по управлению цифровыми рисками BI.ZONE обнаружила вредоносную рассылку от известной хакерской группировки Buhtrap. Письмо с троянской программой маскировалось под уведомление Федеральной службы судебных приставов. Первые атаки хакерской группировки Buhtrap были зафиксированы в 2015 году. Чаще всего злоумышленники атаковали российские банки. В общей сложности хакерам удалось похитить 1,8 млрд рублей.
Исполнительный лист с сюрпризом
В ночь с 26 на 27 июля BI.ZONE зафиксировала массовую фишинговую рассылку с адреса mail@fssp-msk.ru, похожего на настоящий. В теме говорилось про исполнительный лист с номером и датой его создания. К каждому письму был прикреплен файл, имитирующий текстовый документ, с расширением .exe либо .zip. Оказалось, что это была разновидность кейлогера — вредоносной программы, которая следит за действиями пользователей на компьютере.
Троянцы часто имеют функционал по контролю за действиями пользователей, который устанавливается на ПК тайно, не привлекая внимания пользователя, и собирает нужные хакерам данные. Злоумышленники могут продавать полученные с помощью кейлогера пароли, чтобы покупатели могли загружать другие вредоносные программы, например для удаленного управления и похищения денег со счетов. Кейлогеры часто используются группировками, специализирующимися на атаках банковских ИС — в банках много секретов, которые можно подсмотреть, а затем монетизировать. Однако сейчас границы их применения размываются. Появился отдельный рынок торговли удаленным доступом в защищенные системы, для которого кейлогеры и собирают учетные данные.
«Последние три года мы наблюдаем постоянный рост активности шифровальщиков, поэтому удивились, когда зафиксировали этот троян, — отметил директор блока экспертных сервисов BI.ZONE Евгений Волошин. — Программа действует прямолинейно, ведь ее главная цель — подключиться к компьютеру и найти нужную информацию для кражи денег со счетов компании. Мы рады, что наш сервис по защите электронной почты BI.ZONE CESP смог вовремя обнаружить вредоносную рассылку и избавить наших клиентов от неприятностей».
Защита от троянцев
Защититься при удаленном доступе от кейлогеров достаточно легко — просто нужно отказаться от простых паролей и перейти на любой вариант двухфакторной аутентификации, в том числе и при обслуживании банковских клиентов. Тогда перехваченные с помощью троянца данные не будут интересны злоумышленникам, ведь с их помощью нельзя будет ни куда войти и украсть деньги. Кроме того, рекомендуется на удаленные рабочие места всех сотрудников установить антивирусные программы и выявлять аномалии в их работе. Не последнюю роль в защите от троянцев играет антиспам-фильтр и песочница, которые анализируют получаемые сотрудниками сообщения.
