BI.ZONE зафиксировала атаки на десятки российских компаний через уязвимость в электронной почте

BI.ZONE зафиксировала атаки на десятки российских компаний через уязвимость в электронной почте

Хакеры выкачивают внутреннюю переписку организации, а затем требуют выкуп за непубликацию украденных данных
21 ноября 2022 г.

Специалисты компании по управлению цифровыми рисками BI.ZONE выяснили, что с августа 2022 года десятки российских организаций были взломаны через уязвимость сервера рабочей почты Microsoft Exchange. Жертвами стали в основном представители малого и среднего бизнеса.

Хакеры атаковали компании с помощью специальной утилиты, позволяющей получить email всех пользователей организации и список контактов, а затем выгрузить все переписки вместе с файлами, прикрепленными к письмам.

Компании узнавали о том, что их взломали, когда получали письмо от security4real@proton.me. Злоумышленники писали точечно группе сотрудников атакованной организации — специалистам по кибербезопасности, их руководителям и другим лицам, так или иначе связанным с обеспечением безопасности в компании.

В письме говорилось об оплате якобы оказанных услуг аудита безопасности, но в действительности имелся в виду выкуп — сумма, которую нужно было заплатить, чтобы хакер не опубликовал украденную информацию. В некоторых письмах эта сумма достигала 10 тысяч долларов.

Жертвами хакеров стали компании, которые не смогли вовремя установить последние обновления безопасности на сервер Microsoft Exchange, хотя об этой уязвимости и ее устранении известно еще с осени 2021 года. Такие атаки лишний раз напоминают о важности своевременного закрытия изъянов в периметре кибербезопасности компании, а также о том, что сегодня любой бизнес вне зависимости от масштаба организации обязан уделять все больше внимания цифровым рискам, которые ему угрожают
Теймур Хеирхабаров
Директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE

Команда сервиса BI.ZONE «Управление киберинцидентами» рекомендует регулярно проверять актуальность используемых версий и последних установленных обновлений, если в вашей компании используются серверы Microsoft Exchange. В случае обнаружения уязвимого сервера, доступного из интернета, в срочном порядке ограничьте к нему доступ и установите последние обновления.