Вредоносный ответ:
эксперты ЦК F.A.C.C.T.
обнаружили необычный
способ рассылки
майнера
Вредоносный ответ: эксперты ЦК F.A.C.C.T. обнаружили необычный способ рассылки
майнера
19/09/24
Специалисты Центра кибербезопасности• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность компании F.A.C.C.T. зафиксировали новый
способ доставки майнера Xmrig — вредоносного ПО, предназначенного для скрытой
добычи криптовалюты• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта Monero• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта » Monero — при помощи настроенных автоматических
autoreply-ответов со скомпрометированных почтовых адресов• Телекоммуникации и связь » Почта » Почтовый адрес. Начиная с конца мая
схема использовалась для атак на ведущие российские интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет » Рунет-компании, ритейл
и маркетплейсы, страховые и финансовые компании• Экономика » Финансы » Финансовые компании.
С конца мая 2024 года система F.A.C.C.T. Business• Экономика » Бизнес Email• Коммуникации » Интернет-коммуникации » Электронная почта Protection
заблокировала• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись более 150 вредоносных рассылок, которые отправлялись с почтового
сервиса с использованием автоответчика (autoreply) – стандартной функции
почтовиков• Коммуникации » Интернет-коммуникации » Электронная почта » Почтовая программа, позволяющей отправлять подготовленное сообщение на все входящие
письма.
В качестве маскировки атакующие в рассылках использовали вложенный скан счета
на оплату оборудования, однако в самих письмах находилась ссылка на
вредоносный архив на облачном сервисе. Отсюда и загружался майнер Xmrig ,
который поддерживает популярные алгоритмы майнинга и, в основном, используется
для добычи монеты Monero• Экономика » Финансы » Платежные средства » Платежные системы интернета » Криптовалюта » Monero.
Поскольку включить функцию автоответчика можно только, обладая доступом к
почте, аналитики предположили, что столкнулись с массовой компрометацией
почтовых адресов• Телекоммуникации и связь » Почта » Почтовый адрес. В ходе их изучения было выяснено, что все они фигурировали в
утечках баз данных, которые содержат в себе учетные данные как в открытом
виде, так и в виде хэшей, которые легко подбираются методом радужных таблиц• Информационные технологии » Информатика » Защита информации » Криптография » Криптографические атаки » Радужная таблица
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Типы данных » Структуры Данных » Радужная таблица
• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Типы данных » Структуры Данных » Радужная таблица
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм » Алгоритмы поиска » Радужная таблица
• Информационные технологии » Информатика » Программирование » Алгоритм » Алгоритмы поиска » Радужная таблица
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм » Алгоритмы поиска » Радужная таблица
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Типы данных » Структуры Данных » Радужная таблица,
содержащих заранее просчитанные пароли• Информационные технологии » Информатика » Защита информации » Аутентификация » Пароль, так как имеют минимальную длину и
личные данные пользователей (имена, фамилии, дары рождения и т.д.).
Напомним, что, по данным F.A.C.C.T., в первом полугодии 2024 г. в публичном
доступе оказались 150 баз данных российских компаний• Россия » Предприятия России. Общее количество строк
данных пользователей, попавших в утечки в 2024 году, составило 200,5 млн.
Среди пользователей, чьи почтовые ящики были скомпрометированы, были замечены,
в основном, физические лица, однако также есть почты арбитражных управляющих,
небольших торговых компаний• Торговля » Торговые организации и ассоциации, строительных компаний• Строительство » Строительные компании, мебельной фабрики и
фермерского хозяйства• Сельское хозяйство » Фермерское хозяйство.
« Данный способ доставки ВПО опасен тем, что потенциальная жертва первая
инициирует коммуникацию — вступает в переписку и ждет ответное письмо, —
замечает Дмитрий Еременко , старший аналитик Центра кибербезопасности• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность
F.A.C.C.T. — В этом состоит главное отличие от традиционных массовых рассылок,
где получатель часто получает нерелевантное для него письмо и игнорирует его.
В данном случае, хотя письмо не выглядит убедительным, коммуникация уже
установлена и сам факт распространения файла может не вызывать особого
подозрения, а лишь пробудить интерес у жертвы ».
Специалисты ЦК рекомендуют пользователям соблюдать правила цифровой гигиены,
использовать сложные и уникальные пароли• Информационные технологии » Информатика » Защита информации » Аутентификация » Пароль, которые не содержат личной
информации и не подверженных атаке по словарю или прямому перебору.
Использовать менеджеры паролей (aka KeePass). Установить для аккаунтов, где
возможно, второй фактор.
Также во избежание утечек пароля• Информационные технологии » Информатика » Защита информации » Аутентификация » Пароль не стоит сохранять пароли• Информационные технологии » Информатика » Защита информации » Аутентификация » Пароль в браузерах,
устанавливать нелицензионное ПО, потому что оно может содержать стилеры, не
переходить по сомнительным ссылкам на почте и не вводить свои данные на
сомнительных сайтах (фишинг• Безопасность » Информационная безопасность » Фишинг
• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг). Нужно избегать переходов по ссылкам и
аутентификаций• Информационные технологии » Информатика » Защита информации » Аутентификация в мессенджерах, особенно когда просят проголосовать за кого-то
или внезапно «выигрывается» денежнаяя сумма и прочие схемы развода и фишинга• Безопасность » Информационная безопасность » Фишинг
• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг.
Для защиты от подобно типа атак рекомендуем компаниям
Проводить регулярные обучения рядовых сотрудников организации для повышения
знаний об актуальных угрозах в области информационной безопасности• Безопасность » Информационная безопасность.
Иметь строгую парольную политику с многофакторной аутентификацией• Информационные технологии » Информатика » Защита информации » Аутентификация (MFA) и
регулярным обновлением паролей• Информационные технологии » Информатика » Защита информации » Аутентификация » Пароль.
Проводить мониторинг фактов компрометации учетных записей• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись корпоративных
пользователей, их публикации или на продажи на теневых площадках.
Защищать корпоративную почту с помощью решений F.A.C.C.T. BEP и F.A.C.C.T.
MXDR.
