Новая кибергруппа атакует российскую промышленность через целевой фишинг

Новая кибергруппа атакует российскую промышленность через целевой фишинг

Новая кибергруппа атакует российскую промышленность через целевой фишинг

Эксперты RED Security SOC и CICADA8 выявили новую кибергруппировку, специализирующуюся на атаках на промышленные и машиностроительные компании. Основным инструментом злоумышленников стал целевой фишинг.

На ранних этапах подготовки атак они тщательно анализируют кадровые изменения в компаниях-жертвах: выясняют, кто покинул организацию, и получают контактные данные бывших коллег этих сотрудников.

От имени кадровых служб компаний, куда якобы устраивается уволившийся сотрудник, злоумышленники рассылают письма с просьбой дать характеристику бывшему коллеге. Для этого предлагается перейти по ссылке и авторизоваться на ресурсе, внешне напоминающем корпоративный.

Такие письма вызывают высокий уровень доверия, поскольку упоминаются реальные сотрудники, а сообщения направляются их непосредственным коллегам.

Получив доступ к корпоративным учетным записям, киберпреступники оперативно используют полученные данные — это позволяет обходить даже двухфакторную аутентификацию и значительно повышает эффективность атак. Благодаря быстрому реагированию они разворачивают атаку ещё до того, как службы ИБ успевают принять меры.

В 2024 году на промышленные компании пришлось более 40 тысяч инцидентов информационной безопасности — около трети от общего числа атак, зафиксированных RED Security SOC. Доля инцидентов высокой критичности в отрасли составила 18%. Почти половина всех атак (45%) произошла в нерабочее время — в выходные и праздничные дни.

«Целевой фишинг, ориентированный на конкретных адресатов, становится всё более распространённым, особенно в финансовом секторе. Однако в данном случае мы наблюдаем высокую проработку вредоносных ресурсов, что свидетельствует о высокой квалификации злоумышленников. Атаки фиксировались исключительно в промышленной сфере, что позволяет предположить наличие политической мотивации и стремление дестабилизировать конкретную отрасль», — отметил Алексей Кузнецов, генеральный директор CICADA8.

«Промышленность и машиностроение уже давно находятся в фокусе шпионажа и кражи данных со стороны прогосударственных APT-группировок. В последнее время участились атаки, направленные на нанесение прямого ущерба и нарушение работы компаний. В данном случае сложно точно определить конечные цели злоумышленников — атаки были выявлены на ранней стадии, а фишинговые домены, использованные против наших клиентов, своевременно разделегированы. Однако злоумышленники могут продолжить использовать аналогичные схемы, создавая клоны таких ресурсов. Мы настоятельно рекомендуем всем организациям отрасли усиливать меры защиты от фишинга и повышать уровень киберграмотности сотрудников», — подчеркнул Ильназ Гатауллин, технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Осторожно: поддельные фонды обманывают жертв трагедий и войн

Злоумышленники всё чаще используют благотворительность как предлог для обмана. Распространёнными схемами становятся сборы средств на лечение тяжелобольных, а также помощь жертвам природных и техногенных катастроф или боевых действий.

Как отметил в беседе с «Известиями» ведущий аналитик департамента Digital Risk Protection компании F6 Евгений Егоров, поддельные сайты, маскирующиеся под благотворительные организации и фонды, появляются регулярно. Активность мошенников, как правило, приурочена к конкретным информационным поводам: трагическим событиям и праздникам.

«Например, перед Новым годом мы зафиксировали появление нескольких десятков фейковых сайтов якобы благотворительных фондов и НКО. Чтобы похитить деньги и личные данные неравнодушных граждан, мошенники выдают себя не только за организации, но и за их сотрудников или волонтёров», — рассказал Евгений Егоров.

По словам представителя F6, волна фейковых ресурсов, а также групп в мессенджерах и соцсетях, активизировалась после теракта в «Крокус Сити Холле». Повышенную активность злоумышленников также можно наблюдать при сборах средств для военнослужащих и пострадавших в зоне боевых действий.

Эксперт по социотехническому тестированию компании Angara Security Яков Филевский объяснил интерес мошенников к сфере благотворительности тем, что доказать преступный умысел в таких случаях сложно. Кроме того, помощь, как правило, оказывается анонимно и безвозмездно, что затрудняет отслеживание движения средств.

По данным МВД, в 2025 году получила широкое распространение схема, связанная со сбором средств на лечение тяжелобольных. Как сообщает «РИА Новости» со ссылкой на МВД, злоумышленники разворачивают масштабные кампании по сбору пожертвований, после чего объявляют о смерти пациента. Часть собранных средств возвращается клиникой, поскольку лечение не было завершено, и эти деньги становятся доступными для использования. При этом мошенники исчезают из мессенджеров и соцсетей.

Киберэксперт и инженер-аналитик Лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева прогнозирует, что в подобных схемах вскоре начнут использовать полностью вымышленных «больных» с применением технологий дипфейк. Генеративные инструменты позволяют имитировать медицинские документы и результаты обследований, а боты — создавать видимость активности на платформах для сбора средств.

По словам Якова Филевского, аналогичные схемы могут использоваться и при других инфоповодах — стихийных бедствиях, паводках, лесных пожарах, землетрясениях и боевых действиях. Он отметил, что мошенники уже начали создавать поддельные сайты детских домов, хосписов и приютов, копируя дизайн настоящих организаций. Единственное отличие — подставные банковские реквизиты.

Новой тенденцией, по словам Филевского, стали атаки на жертв уже совершённых финансовых афер. Мошенники находят таких людей на тематических форумах и в чатах, предлагая помощь в возврате украденных средств в обмен на «комиссию» или «взнос».

Подобная активность приводит к снижению доверия к благотворительности в целом. Более того, реальные фонды и некоммерческие организации вынуждены работать в условиях ужесточённого регулирования, что требует дополнительных ресурсов.

«Прежде чем переводить деньги благотворительной организации, обязательно проверьте доменное имя сайта через WHOIS-сервисы. Свежая дата регистрации — один из тревожных признаков. Также убедитесь, что реквизиты совпадают с данными, указанными на официальном сайте», — предупреждает Ирина Дмитриева.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru