Az észlelt támadás-sorozat során a hackerek főként kohászati, energia-, építőipari, logisztikai cégeket támadtak meg: rosszindulatú mellékleteket tartalmazó e-maileket küldtek, amelyekben a gyanútlan áldozatoktól bizalmas információk megosztását kérték.

Személyre szabott üzenetek

A Kaspersky Lab adatai alapján 800 alkalmazott vállalati számítógépére küldtek kártékony leveleket azzal a céllal, hogy olyan szenzitív adatokhoz legyen hozzáférésük, amelyekkel további támadásokat kezdeményezhetnek. Az e-maileket hivatalos beszerzési- és/vagy számviteli levélként álcázták, amelyek az adott cég tevékenységi köréhez kapcsolódott. Továbbá figyelembe vették a cég és a munkavállaló személyét, azaz személyesen a munkavállalónak címezték a leveleket. Ez azt sugallja, hogy a támadásokat alaposan előkészítették és a kiberbűnözők sok időt szántak arra, hogy minden egyes felhasználó számára egyedi üzenetet dolgozzanak ki.

Amikor a címzett rákattintott a fertőzött mellékletekre, egy módosított legális szoftver települt észrevétlenül az áldozat számítógépére. Ezáltal a bűnözők csatlakozhattak a számítógépre és lehetőségük nyílt megvizsgálni a pénzügyi és számviteli dokumentumokat, valamint szoftvereket. Ezenfelül a bűnözők több módszerrel is próbáltak pénzügyi visszaéléseket elkövetni, például változtattak a számlákra vonatkozó követelményeken azért, hogy az számukra legyen kedvező.

Mindemellett, ha a bűnözőknek további adatokra, vagy esetleg rendszergazdai jogosultságokra, vagy felhasználói hitelesítési adatokra, vagy Windows-fiókok ellopására volt szükségük, akkor újabb és újabb „személyre és cégre” szabott rosszindulatú programokat telepítettek. Ezek között találtak kémprogramot, távoli hozzáférés programot, vagy olyan malware-t, amely a vállalati hálózatok sérülékenységeit kereste. Több alkalommal a Mimikatz programot is azonosították a szakértők, amely lehetővé teszi a felhasználók számára, hogy adatokat szerezzenek a Windows-fiókokból.

Figyeljen, mire kattint a kolléga!

„Az adatok arra utalnak, hogy a támadók kifejezetten oroszországi intézményeket céloztak és ennek oka valószínűleg az, hogy a kiberbiztonsági tudatosság szintje alacsonyabb, mint más piacokon, különösen a pénzügyi szolgáltatószektorban. Ezzel azonban a kiberbűnözők is tisztában vannak, ezért is tűnnek jövedelmező célpontnak a nagy ipari intézmények – nemcsak Oroszországban, hanem világszerte.” – mondta Vyacheslav Kopeytsev, a Kaspersky Lab biztonsági szakértője.

A Kaspersky Lab kutatói az alábbi kulcsfontosságú intézkedéseket javasolják a felhasználóknak annak érdekében, hogy megelőzzék az adathalász támadásokat:

• Használjon olyan biztonsági megoldást, amely észleli és blokkolja az adathalász támadásokat. A Kaspersky Endpoint Security for Business hatékonyan hárítja a támadásokat és lehetővé teszi a felhőalapú szolgáltatások védelmét is.
• Szánjon időt a kollégák kiberbiztonsági tudatosságának képzésére. Nem lehet elégszer hangsúlyozni az emberi tényező szerepét a számítógépes védelem területén.