Эксперты RED Security SOC и CICADA8 обнаружили хакерскую группировку, ведущую целенаправленные атаки на промышленность

Эксперты RED Security SOC и CICADA8 сообщают о хакерской группировке, которая ведет целенаправленные атаки на российские предприятия сфер промышленности и машиностроения. Киберпреступники похищают учетные записи сотрудников предприятий, используя продвинутой фишинг. Данная группировка уже атаковала ряд крупнейших производственных организаций России.

На этапе подготовки атаки киберпреступники анализируют кадровые перестановки в компании. Они устанавливают, кто покинул компанию в недавнем времени, в каком подразделении он работал, а также находят адреса рабочей почты его коллег. На эти адреса злоумышленники направляют письма, в которых представляются HR-специалистами компании, куда якобы планирует устроиться уволившийся человек. В письме содержится просьба дать обратную связь о бывшем коллеге, для чего нужно перейти на веб-ресурс и ввести на нем логин и пароль от рабочей учетной записи, чтобы скачать форму обратной связи. Поскольку письмо содержит достоверные данные о человеке, ранее работавшем в компании, и рассылка ведется только в адрес людей, которые могли взаимодействовать с ним по рабочим вопросам, сообщение вызывает высокую степень доверия.

Ресурс, на котором сотрудник промышленного предприятия вводит логин и пароль, в режиме реального времени применяет эти данные для взлома ИТ-инфраструктуры. Если человек ввел неправильный пароль, ему автоматически выводится соответствующее сообщение. Такая механика не только повышает вероятность успеха киберпреступников, но и позволяет обойти любую техническую защиту учетных записей, включая двухфакторную аутентификацию. Кроме того, действующие таким образом хакеры могут моментально получить доступ в ИТ-инфраструктуру компании-жертвы и быстро развить атаку — например, с помощью вируса-шифровальщика — до того, как служба ИБ сможет принять меры реагирования.

«Целевой фишинг, таргетированный под конкретных получателей, встречается все чаще, особенно в финансовом секторе. Однако в данном случае мы также имеем дело с очень тщательной проработкой вредоносного ресурса, которая указывает на достаточно высокую квалификацию злоумышленников. Атаки с применением этого инструментария были зафиксированы исключительно в промышленном секторе, поэтому есть основания говорить о том, что мы имеем дело с политически мотивированной группировкой, имеющей цель по дестабилизации конкретной отрасли», — считает Алексей Кузнецов, CEO CICADA8.

В 2024 году в организациях промышленной сферы было зафиксировано свыше 40 тысяч инцидентов информационной безопасности. Это около трети об общего объема атак, отраженных специалистами RED Security SOC за год. Доля инцидентов высокой критичности в отрасли составила 18%. Почти половина (45%) всех атак на промышленность пришлась на выходные и праздничные дни или часы, которые традиционно являются нерабочими — с 19:00 до 09:00. При этом доля критических инцидентов в ночное время заметно возрастала: с 12% в рабочие часы компаний до 25% — в ночные. Также аналитики RED Security SOC отмечают, что трояны и черви, используемые для атак на промышленность, чаще, чем в других отраслях, имеют функциональность кражи учетных данных и шпионажа (38%) или шифрования данных (19%).

«Сфера промышленности и машиностроения с давних пор является целевым направлением для шпионажа и кражи данных прогосударственными APT-группировками, еще с относительно недавних пор участились атаки с целью нанесения деструктивного ущерба и нарушения работы компаний. В данном случае о конечной цели злоумышленников трудно судить однозначно, поскольку атаки были выявлены в отношении наших заказчиков, заблокированы на ранней стадии, а фишинговые домены, которые использовались в ходе атак на наших заказчиков, разделегированы. Однако злоумышленники могут продолжать создавать двойники таких ресурсов и использовать такие же или аналогичные схемы целевого фишинга. Поэтому мы рекомендуем всем организациям отрасли усилить меры защиты от фишинговых атак и повышать киберграмотность своих сотрудников», — сообщил Ильназ Гатауллин, технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.

RED Security SOC предоставляет заказчику сервисы защиты от киберугроз в режиме 24/7. Эксперты центра мониторинга анализируют события информационной безопасности в ИТ-инфраструктуре производственной компании, выявляют цепочки кибератак и выдают рекомендации, которые помогают заблокировать их развитие на ранних стадиях — до того, как злоумышленники достигнут своей цели и нанесут ущерб организации.