“Сбер” официально объявил, что служба кибербезопасности “Сбербанка” предотвратила массовую фишинговую атаку на свою инфраструктуру. По официальному заявлению пресс-службы банка “системы информационной защиты банка не допустили попадания сотрудникам электронных писем, где их срочно приглашали в военкомат для «уточнения персональных данных»”. Аналогичные атаки были отмечены и другими службами контроля вредоносной активности еще 10 мая.
Актуальный фишинг
В частности, автоматизированная система защиты электронной почты Business Email Protection компании F.A.С.С.T. зафиксировала 10 мая масштабную почтовую рассылку и заблокировала более 600 вредоносных писем, распространяемых под видом мобилизационных повесток. Вредоносные письма были направлены российским компаниям (в том числе HR-специалистам и секретарям) якобы от имени Главного Управления Военного Комиссариата МО РФ с поддельного адреса электронной почты mail@voenkomat-mil[.]ru. В отправленных письмах говорится о том, что получатели должны явиться 11 мая к 8.00 в военный комиссариат для уточнения данных. На самом деле перехваченные вредоносные письма содержали zip-архивы с именами вида «Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip» и exe-файлом внутри, который является трояном удаленного доступа DarkWatchman RAT. Ранее он был замечен в кампаниях финансово-мотивированной группы Hive0117 и использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки.
В рассылке, которая была направлена на адреса электронной почты сотрудников “Сбербанка”, также содержался вредоносный файл-троянец — «мобилизационное предписание», очень похожий по описанию на обнаруженный системой Business Email Protection. При открытии файла мог возникнуть риск заражения всей ИТ-инфраструктуры. Таким образом, можно говорить, что мошенники вновь используют актуальную для общества информационную повестку. В данном случае фишинговая рассылка «от военкоматов» — это фейк, в котором мошенники эксплуатируют тему подписания Президентом РФ Указа № 333 от 10.05.2023 «О призыве граждан Российской Федерации, пребывающих в запасе, на военные сборы в 2023 году».
“Мы зафиксировали целенаправленную фишинговую атаку на Сбербанк, — пояснил ситуацию заместитель Председателя Правления Сбербанка Станислав Кузнецов. — Эта атака была успешно отражена, как и все предыдущие. Хочу подчеркнуть, что мы регулярно проводим учения среди коллектива “Сбера”: рассылаем коллегам по рабочей электронной почте имитацию фишинговых писем с вложениями или ссылками и отслеживаем реакцию на них. Благодаря таким профилактическим мерам наши коллеги осознают весь спектр киберугроз и пересылают подозрительные письма на проверку в Департамент кибербезопасности. Разумеется, военкоматы не рассылают по электронной почте повестки или любые другие официальные уведомления, поэтому прошу всех наших клиентов также быть внимательными и не реагировать на такие сообщения”.
Рекомендации специалистов
По данным компании F.A.С.С.T. вредонос DarkWatchman RAT представляет собой троян удаленного доступа, написанный на JavaScript и распространяющийся в паре с .NET кейлоггером. Основными целями кампаний с применением Darkwatchman стали коммерческие организации из СНГ, а потенциальными жертвами атаки 10 мая могли быть банки, ИТ-компании, промышленные предприятия, компании малого и среднего бизнеса и д.р.
Для защиты от подобного типа атак специалисты по информационной безопасности рекомендуют использовать спам-фильтры с глубоким анализом содержимого (песочницами), веб-прокси с блокировкой доступа сотрудников к подозрительным адресам и антивирусное ПО. Кроме того, важно повышать уровень осведомленности сотрудников в вопросах информационной безопасности — используемая “Сбербанком” технология профилактических имитационных рассылок, похоже, себя оправдала. Также можно использовать внешние антиспам сервисы для фильтрации электронной почты, которые сейчас предоставляют коммерческие SOC и специализированные компании.