Злоумышленники чаще всего атакуют российские компании с помощью троянов удаленного доступа и стилеров
Еще в 29% случаев злоумышленники применяют стилеры, с помощью которых крадут аутентификационные данные и другую чувствительную информацию. Тройку лидеров замыкают загрузчики (16%): их используют, чтобы загружать на устройство жертвы различные экземпляры ВПО и инструментов.
Стилеры позволяют киберпреступникам получать сведения о скомпрометированных устройствах, включая версию ОС и информацию об оборудовании, а также данные из криптокошельков, почтовых клиентов, браузеров и других приложений, в том числе логины и пароли. При этом полученный аутентификационный материал может в дальнейшем использоваться для более сложных целевых атак на скомпрометированные организации.
Наиболее популярные стилеры — это FormBook (29%), SnakeLogger (23%), Rhadamantys (17%) и PureLogs Stealer (11%). Пятерку лидеров замыкает MetaStealer, который используется почти в 10% атак. Фактически это аналог популярного стилера RedLine, который отличается отсутствием ограничений на использование против компаний из России и других стран СНГ.
.com
(реже — .exe
), который после запуска внедряет стилер на устройство жертвы.
В качестве отвлекающих документов Venture Wolf нередко использует карточки организаций, в которых указаны реквизиты и адреса компаний. Многие злоумышленники прибегают к такому приему, поскольку использование информации о реальных организациях делает фишинговое письмо более правдоподобным и вызывает доверие у пользователя. Важно помнить, что обладатели торговых марок не несут ответственности за действия киберпреступников и причиненный в результате ущерб.
Злоумышленники рассылают электронные письма с архивом, который содержит загрузчик и несколько фишинговых документов. После того как жертва открывает вложение, происходит расшифровка и загрузка стилера.
Фишинговые рассылки — один из наиболее распространенных способов получения первоначального доступа в IT‑инфраструктуру. Решения для защиты электронной почты, например BI.ZONE CESP, помогут обезопасить корпоративную почту от вредоносных писем за счет механизмов фильтрации и технологий машинного обучения.
Чтобы получать информацию о наиболее актуальных для компании угрозах, рекомендуется использовать порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные позволят обеспечить бесперебойную работу СЗИ и ускорить реагирование на инциденты.