Специалисты «Лаборатории Касперского» обнаружили хакерскую группировку, которая проводит ночные атаки на российские предприятия и технические вузы с декабря 2024 года. Злоумышленники преимущественно выбирают ночное время — с 01:00 до 05:00 мск.
В чем заключается атака?
Кибератака начинается с рассылки фишинговых писем, которые содержат защищенные паролем архивы. После загрузки и открытия архива на компьютере пользователя устанавливается вредоносное программное обеспечение (ПО). Оно помогает злоумышленникам удаленно управлять устройством жертвы.
В ночное время вредоносное ПО активируется, собирает учетные данные и ключи от криптокошельков, отправляя их хакерам. После удачного скачивания нужных данных вирус переходит на второй этап кибератаки и загружает в зараженную ИТ-систему майнер, а в конце удаляет себя с устройства.
Основная цель такой атаки — использование компьютеров компаний для скрытого майнинга криптовалют. Изначально пользователь может не заметить небольшое снижение скорости работы его устройства и вряд ли подумает, что это связано с попыткой кибератаки.
На самом деле определить атаку очень легко: при вмешательстве хакеров загрузка процессора резко увеличивается до 100%. Возможно, именно поэтому хакеры ведут свою деятельность ночью, чтобы рядовые пользователи или системные администраторы не сразу начали внутреннее расследование по факту торможения ИТ-систем или высокого расхода электроэнергии.
Как обезопасить себя от кибератак?
1 - Внимательно проверяйте письма, которые вы получаете на электронный ящик. Что должно насторожить в письме:
▪️Кричащий заголовок. Например, вам поступил крупный перевод, ваша учетная запись заблокирована и т. д.
▪️Ошибки, опечатки и странные символы в тексте. Например, «розыгришь призов» или использование латинских букв.
▪️Неправильный адрес сайта, на который ведет ссылка. Часто злоумышленники копируют известные сайты с небольшим изменением в буквах. Например, google и qoogle.
2 - Используйте системы антивирусной защиты со встроенной изолированной средой («песочницей») для динамической проверки файлов, способных выявлять и блокировать вредоносные файлы в корпоративной электронной почте до момента их открытия сотрудниками.
3 - SIEM-решения — для своевременного выявления и эффективного реагирования на инциденты информационной безопасности. Это позволит своевременно выявлять злонамеренную активность, попытки взлома инфраструктуры, присутствие злоумышленника и принимать оперативные меры по нейтрализации угроз.
4 - Если атака уже произошла и сотрудники заметили неполадки, то нужно срочно уведомить внутренних специалистов по ИБ и начать внутреннее расследование по факту торможения ИТ-систем.