Специалисты компании Positive Technologies с помощью системы мониторинга событий ИБ и управления инцидентами MaxPatrol SIEM выявили аномальную активность в сети, указывающую на масштабное распространение вредоносного программного обеспечения. В результате исследования обнаружено, что атака охватила более 250 000 пользователей в 164 странах, из которых большинство пострадавших находятся в России, Украине, Белоруссии и Узбекистане.
В поисках необходимого программного обеспечения пользователи часто заходят на торрент-ресурсы, не подозревая опасности в подобном обмене данными. Однако, скачав и установив такой софт, пользователь дает злоумышленникам доступ к своей личной информации и банковским счетам, а в случае заражения корпоративного компьютера мошенники получают контроль над устройством и используют его для организации промежуточного узла в цепочке атак на компанию-работодателя.
В августе 2023 года эксперты SOC компании Positive Technologies зафиксировали аномальную активность в одной из российских компаний. Инцидент потребовал вмешательства команды PT CSIRT, занимающейся мониторингом и реагированием на инциденты (подразделение PT Expert Security Center). Эксперты обнаружили, что пользователь исследуемой компании стал жертвой неизвестного ранее ВПО.
В ходе детального всестороннего расследования эксперты Positive Technologies выявили пострадавших в 164 странах. Подавляющее большинство (более 200 тысяч) находятся в России, Украине, Белоруссии, Узбекистане. Среди жертв также оказались пользователи из Индии, Филиппин, Бразилии, Польши, Германии.
По данным CSIRT, атака в большинстве случаев затронула некорпоративных пользователей, скачивающих нелегальное ПО, однако среди жертв оказались также государственные учреждения, образовательные организации, компании нефтегазовой отрасли, медицинские и строительные учреждения, компании из сферы ритейла и IT. Все они были уведомлены о выявленной угрозе.
«После установки такое ВПО ведет себя достаточно шумно: собирает информацию о компьютере жертвы, устанавливает программу RMS (для удаленного управления) и майнер XMRig, архивирует содержимое пользовательской папки Telegram (tdata) — и это лишь наиболее активные действия за короткий период наблюдения, — комментирует Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies. — В конкретном случае, за которым мы наблюдали, зловред отправлял собранную информацию с корпоративного ноутбука пользователя в телеграм-бот, он в этой цепочке выступал в роли контрольного сервера. Такая активность была зафиксирована нашим продуктом MaxPatrol SIEM».
Эксперт отметил, что злоумышленник, получив доступ к папке Telegram, вступает в телеграм-сессию пользователя и мониторит переписку, извлекая данные из аккаунта, при этом оставаясь незаметным. Даже если пользователь настроил двухфакторную аутентификацию, хакер может ее успешно обойти, подобрав пароль методом перебора (brute force). Пользователям Телеграма рекомендуется после обнаружения признаков взлома завершить текущую сессию и зайти в мессенджер повторно.
По данным расследования, использованное в атаке ВПО не является сложным для анализа, при этом, изучив всего лишь одну атаку с его использованием, эксперты получили информацию о более чем 250 тысячах жертв по всему миру. В Positive Technologies уверены, что реальное количество жертв превышает эту цифру и с ростом числа атак с применением этого ВПО число пострадавших будет только увеличиваться.
Чтобы защититься от подобных нападений, эксперты Positive Technologies рекомендуют организациям использовать продукты класса SIEM для отслеживания подозрительной активности в информационных системах. Частным лицам следует использовать лицензированное ПО, избегать скачивания программ из недоверенных источников, а также иметь активное антивирусное программное обеспечение. Завтра, 26 октября 2023 года, компания проведет онлайн-запуск MaxPatrol SIEM 8.0. — новой версии своего продукта с продвинутым набором функций для выявления неизвестных атак и аномалий.