Предпосылок нет: эксперт о возможности новой кибератаки в День независимости

7667

27 июня этого года Украина подверглась массовой кибератаке. Более 10 000 компьютеров было заражено вирусом-вымогателем Petya, сети государственных и частных компаний ушли в офлайн. Сейчас приближается празднование Дня независимости Украины и многие IT-эксперты предупреждают о новых атаках и рисках повторения кибератак в этот день. Вчера компания ISSP, специализирующаяся на кибербезопасности, сообщила о новой волне кибератак в Украине. По словам главы компании Алексея Ясинского, эта вирусная рассылка может стать подготовительным этапом перед масштабной кибератакой в праздничные дни. Но не все эксперты с этим согласны. 

В статье экспертов CyS Centrum речь идет о том, что текущие вирусные атаки не стоит считать подготовкой к чему-то массированному — это обычные вирусные рассылки. В статье анализируются две угрозы, которые претендуют на «предвестниц глобальной атаки». 

Угроза №1

Она прошла 10 августа, привлекла внимание банковского регулятора, ее успели приурочить к возможному взлому на День независимости. Но на самом деле — это четвертая по счету и не последняя массовая рассылка рассылка электронных писем, содержащих вредоносное вложение в виде DOCX-документа (эксплойт для MS Office связанный с уязвимостью при обработке файлов EPS; идентификатор CVE-2017-0262), уточняют эксперты CyS Centrum. 

Этот эксплойт может сработать, если MS Office не обновлялись с 09.05.2017 — в этом случае возможно заражение вредоносной программой-загрузчиком TrueBot. Впервые зловредная программа-загрузчик была применена 19 апреля этого года и с тех пор вектор атаки (банки) не менялся. 

«Эта угроза не имеет отношения к приписываемым Дню независимости возможным кибер-событиям и относится к разряду financially motivated cybercrime с прицелом на банки. Так как сотрудники регулятора предоставили исчерпывающие сетевые индикаторы компрометации, дублировать информацию не будем», — говорится в статье. 

Угроза №2

Эксперты CyS Centrum отмечают, что ведомости о второй угрозе, от 22 августа этого года, представляются, опять же, как подготовка к массированной атаке на праздники. На самом деле, по словам экспертов, эта вирусная рассылка — тоже далеко не первая, за ней стоят злоумышленники, которые занимаются воровством денег в системах «клиент-банк». Рассылка содержала вложение-архив, в котором находилось несколько документов-приманок и вредоносный JS-загрузчик. 

Загрузчик обеспечивает скачивание и запуск программы SmokeLoader, которая, в свою очередь, обеспечит загрузку на атакуемый объект вредоносной программы ZeuS VM/KINS. Таким образом, злоумышленники изучат работу бухгалтера, скомпрометируют аутентификационные данные и смогут выкрасть деньги со счета предприятия, переведя их на счет подставной компании.

«Данная угроза исследуется нами с 2013 года… Используемая злоумышленниками тактика не меняется уже несколько месяцев. Последняя фаза активности этой группы началась после летних отпусков 10.08.2017… Как и прежде, данная угроза не имеет никакого отношения к приписываемым Дню независимости возможным киберсобытиям и также относится к разряду financially motivated cybercrime с прицелом на клиентов украинских банков», — говорится в статье. 

Информация об индикаторах этой атаки есть на сайте CERT-UA.

В заключение статьи эксперты CyS Centrum отмечают, что на данный момент компании неизвестны предпосылки, которые свидетельствуют о подготовке массовой кибератаки на праздники. 

Напомним, 75% случаев заражения вирусом Petya/NotPetya пришлось на Украину. Но зарубежные компании также пострадали: убытки грузового гиганта Maersk составили $300 млн.

Оставить комментарий

Комментарии | 0

Поиск