Специализирующаяся на информационной безопасности компания Group-IB сообщила Daily Storm, что почти 65% фишинговых рассылок на тему пандемии COVID-19 содержали шпионское программы, около 4% — вирусы-шифровальщики. Рассылающие такие письма мошенники похищают пароли пользователей и данные банковских карт.
«Сотни фишинговых писем, замаскированных под информационные и коммерческие рассылки о COVID-19, содержали во вложении различные типы шпионского ПО. Сами популярными оказались программы-шпионы — 65%, второе место занимают бэкдоры — 31%, на шифровальщики приходится около 4%. Что касается шпионского ПО, то наиболее востребованными у киберпреступников оказались трояны AgentTesla (45%), NetWire (30%) и LokiBot (8%)», — заявили в Group-IB.
Специалисты компании уточнили, что «шпионские» программы могут собирать данные о системе и зараженном компьютере, делать скриншоты, загружать и запускать файлы, записывать нажатие клавиш на клавиатуре и похищать данные пользователей: логины, пароли из браузеров. Сами письма-фейки были на русском и английском языках от имени авторитетных организаций, связанных со здравоохранением (ВОЗ, ЮНИСЕФ), а также крупных российских и международных компаний.
Рассылки направлялись как в коммерческий, так и в государственный секторы РФ и СНГ. В частности, 16 марта специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB) зафиксировали вредоносную рассылку якобы от лица сотрудницы ЮНИСЕФ. Получателю предлагали загрузить приложение, чтобы получать обновления о ситуации с COVID-19, а к письму прилагался архив, содержавший Netwire — троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона.
Кроме того, 27 марта в CERT-GIB «поймали» две рассылки вируса-шифровальщика по российским нефтегазовым компаниям. В списке получателей — свыше 70 адресов. Письма, отправленные якобы от компании «Аптека.ру», содержали презентацию «лучших средств профилактики по доступной цене» под заголовком «Дарим «вакцину» от коронавируса!». Отправитель также предлагал продажу масок в любых количествах. При этом в письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora.
Преступники хакерских форумах стараются использовать панические настроения населения насчет COVID-19 для роста продаж вредоносных программ, отметили эксперты. Они прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети. Уточняется, что хакеры могут атаковать в первую очередь пользователей на удаленке, чтобы добраться до инфраструктуры их компании. В группе риска находятся сотрудники финансовых учреждений, телеком-операторов и IT-компаний.
В марте Group-IB сообщила об обнаружении более 9,5 тысячи фейков о заражении жителей столицы коронавирусом. По данным экспертов компании, информационная атака распространялась через ботов в соцсети «ВКонтакте» и разгонялась вбросами в группы в мессенджерах при детсадах и школах, а также в сообщества, рассчитанные на женскую аудиторию.
Глава департамента международной информационной безопасности МИД РФ Андрей Крутских ранее заявил, что человечеству сейчас, кроме COVID-19, угрожает так называемая киберпандемия — хакерство, кибертерроризм, кибервмешательство в частную жизнь: «Это все следствие развития негативных тенденций при совершенствовании кибертехнологий», — считает он. По мнению Крутских, нынешний перевод многих сфер жизни на «удаленку» в связи с COVID-19 еще раз убеждает в необходимости выработать общие меры для борьбы с киберугрозами: «Нужно не опоздать с нахождением решений до того как разразится очередной — на этот раз киберкризис».
Ранее в Group-IB отвергли обвинения США в адрес топ-менеджера Никиты Кислицина в продаже украденных данных пользователей сервиса Formspring, заявив, что в них нет доказательств вины россиянина. Американский Минюст считает, что Кислицын вступил в сговор, чтобы перепродать сведения за 5,5 тысячи евро. В судебном разбирательстве речь идет о событиях восьмилетней давности — в то время Кислицин был независимым исследователем по кибербезопасности и не работал в Group-IB.