© ComNews
31.07.2018

Group-IB обнаружила сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM, нацеленными на атаку юридических лиц. Три ресурса, появившихся в апреле этого года, уже успели посетить как минимум 200 тыс. человек. Жертвами таргетированной атаки хакеров стали финансовые директора, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. По словам заместителя руководителя CERT Group-IB Ярослава Каргалева, ввиду того что схема достаточно проста, в ближайшем будущем возможно увеличение подобных случаев.

По оценке Group-IB, данной в отчете "Hi-Tech Crime Trends 2017", каждая такая атака ежедневно приносит злоумышленникам, в среднем до 1,2 млн руб. На данный момент большинство фальшивых бухгалтерских сайтов заблокированы либо находятся в процессе блокировки. При этом, как сообщили в пресс-службе Group-IB, как минимум один из обнаруженных фейковых ресурсов продолжает работу.

Два домена были зарегистрированы еще в сентябре 2017 г., остальные работали всего несколько месяцев. Посетителями каждого из сайтов за это время стали 200 тыс. потенциальных жертв. Ресурсы регулярно появлялись в топе поисковой выдачи по соответствующим запросам ("скачать бухгалтерские бланки", "скачать бланк", "налоговая декларация скачать" и др.). Общий объем посещаемости по всем ресурсам фальшивой бухгалтерской сети на данный момент не установлен: это сотни тысяч пользователей.

"Исследуя сайт buh-docum[.]ru, сотрудники CERT Group-IB обнаружили связанные между собой ресурсы-близнецы, практически не отличающиеся контентом. Сеть фальшивых бухгалтерских сайтов насчитывала как минимум пять ресурсов, объединенных общей задачей, - распространением вредоносных программ при скачивании бухгалтерских бланков и счетов. Среди таких ресурсов специалисты Group-IB выявили buh-docum[.]ru, patrolpolice[.]org.ua, buh-blanks[.]ru, buh-doc[.]online и buh-doc[.]info", - рассказали в пресс-службе Group-IB.

Новая преступная схема была раскрыта после того, как Центр реагирования на инциденты информационной безопасности Group-IB (CERT-GIB) зафиксировал попытку загрузки вредоносной программы в одном из российских банков. В ходе расследования инцидента обнаружилось, что троян был "подсажен" с профильного бухгалтерского ресурса buh-docum[.]ru, содержащего подборку специализированных документов - бланков, контрактов, счетов-фактуры и документов налогового учета", - рассказали в пресс-службе Group-IB.

При этом в компании добавили, что анализ сайта buh-docum[.]ru показал, что он был изначально зарегистрирован и заполнен профильным контентом (сайт содержал сотни различных финансовых документов) как приманка для определенной категории посетителей с целью инфицирования их компьютеров. Тематически таргетированный ресурс был направлен на финансовых директоров, главных бухгалтеров, юристов, то есть на тех, кто владеет правами доступа к управлению счетами организаций. "Именно благодаря своему профилю деятельности они, как правило, чаще других становятся мишенями хакерских атак", - отметили в пресс-службе Group-IB.

При скачивании документов с сайта происходила загрузка, а затем запуск троянской программы, созданной хакерской группой Buhtrap (в 2016 г. открытый код вируса появился на хакерских формах). Загрузчик собирал информацию о компьютере, проверял историю посещений в браузере, списки упоминания банковских/бухгалтерских приложений, а также данные о различных платежных системах. Особый интерес операторы трояна проявляли к криптовалютным системам. Поиск осуществлялся по списку, состоящему из более чем 400 ключевых поисковых запросов (так называемых ключевиков).

"Если программа обнаруживала один из таких "ключевиков", сервер отдавал команду на загрузку троянов Buhtrap или RTM, нацеленных на атаку на юридических лиц, кражу денег в системах ДБО и из различных платежных систем", - указали в пресс-службе Group-IB.

По словам заместителя руководителя CERT Group-IB Ярослава Каргалева, тактика атакующих изменилась: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов, на которых злоумышленники размещали код, предназначенный для загрузки троянов. "В итоге невнимательность одного сотрудника компании может привести к серьезным потерям для всего бизнеса: по нашим данным, ежедневно происходит минимум по две успешных атаки на компании с использованием вредоносных программ для ПК, в результате которых в среднем злоумышленники похищают 1,2 млн руб. Кроме того, мы не исключаем, что таких ресурсов могло быть больше", - указал Ярослав Каргалев.

Для того чтобы компаниям не стать жертвой киберпреступников, эксперты Group-IB рекомендуют правильно выстраивать систему проактивной защиты, исходя из актуальных киберугроз: необходимо использовать системы раннего предупреждения и детектирования атак в корпоративной сети, решения для поведенческого анализа файлов в безопасной среде (класса "песочница"). Компьютеры, которые работают с бухгалтерскими и банковскими системами, должны быть изолированы, а доступ во внешнюю сеть должен быть разрешен только по белым спискам (White lists). Нужно внедрять системы защиты основных узлов и компьютерных систем, своевременно обновлять программное обеспечение - операционные системы, приложения, браузеры.

"Именно через уязвимости в браузере происходит заражение программой Buhtrap. Кроме того, сотрудники, попадающие в "группу риска" - бухгалтеры, системные администраторы, секретари в обязательном порядке должны проходить тренинги по информационной безопасности, а всю ИТ-инфраструктуру компании два раза в год необходимо проверять в ходе "боевых учений". Иначе цена их ошибки может быть очень высока", - добавили в Group-IB.

Говоря с корреспондентом ComNews о масштабах проблемы такого рода, как обнаруженные Group-IB фальшивые сайты, Ярослав Каргалев рассказал следующее: "Фейковые сайты довольно распространены у киберпреступников и интернет-мошенников. Мы довольно часто сталкиваемся с фишинговыми сайтами-клонами известных банков, интернет-магазинов, которые похищают данные банковских карт или данные учеток аккаунтов пользователей. Был случай, когда злоумышленники создавали точную копию сайтов предприятий, выпускающих минеральные удобрения, - вводили в заблуждение клиентов, принуждая осуществить предоплату за несуществующий товар. Сейчас подобной преступной деятельностью занимаются крупные международные группировки".

При этом, по словам Ярослава Каргалева, ввиду того что схема достаточно проста, в ближайшем будущем возможно увеличение подобных выявленной сети фейковых бухгалтерских сайтов случаев. "Злоумышленник вполне себе может позволить нанять хорошего специалиста по созданию и продвижению сайтов, а тот, в свою очередь, даже не будет догадываться, для каких целей он создает сайт, наполняет его реальным контентом и поднимает сайт в топ поисковой выдачи", - пояснил Ярослав Каргалев.

Относительно того, на кого, помимо теперешних жертв, могут быть направлены подобные ресурсы, он сказал следующее: "Если у киберпреступников стоит задача похитить деньги, то основной их целью будут сотрудники, обладающие доступом к платежным данным, системам ДБО".

При этом Ярослав Каргалев указал, что и ранее совершенного открытия уже встречались сети ресурсов. "Например, вынуждающие посетителей осуществить SMS-подписку на платные номера злоумышленников, либо сайты, предлагающие бесплатно скачать платную программу, но вместо нее пользователь получал набор различных "нежелательных" программ, деятельность которых приносила злоумышленникам доход", - проинформировал Ярослав Каргалев.

Но в случае обнаруженной Group-IB сети, по его словам, создание и продвижение тематических сайтов, нацеленных на узкую аудиторию для заражения вредоносным ПО для хищения средств, является новинкой.

В разговоре с корреспондентом ComNews эксперт направления информационной безопасности "Крок" Дмитрий Березин отметил, что такой вид таргетированных атак, как вскрытые Group-IB фальшивые сайты, представляет особый интерес. "Злоумышленники часто создают полные копии популярных ресурсов, будь то крупные банки, онлайн-магазины или социальные сети, с целью кражи номеров кредитных карт, логинов/паролей и загрузки троянов. Но такие ресурсы быстро попадают в черные списки. Злоумышленники могут взломать популярный сайт и разместить на нем вредоносный код, однако владелец ресурса может оперативно устранить уязвимость и удалить опасный контент. Создание сайта "с нуля", ориентированного на узкую аудиторию, для проведения таргетированных атак - это действительно новое веяние на рынке киберпреступности", - заявил Дмитрий Березин.

Помимо того, по его словам, этот метод атаки в ближайшее время получит большее распространение. "Но, в связи со сложностью реализации и фокусом на узкую аудиторию не стоит ждать роста в геометрической прогрессии. В первую очередь, под риском находятся сотрудники бухгалтерии, ИТ-администраторы и топ-менеджмент крупных компаний", - указал Дмитрий Березин.

Что касается защиты от такого рода атак, то для нее, по его мнению, уже недостаточно традиционных систем, таких как межсетевые экраны, системы обнаружения вторжений, антивирус и регулярная установка патчей на рабочие станции и серверы компании. Требуется комплексный подход, включающий в себя организационные аспекты (информирование пользователей о новых видах мошенничества, регулярные тренинги по информационной безопасности для ключевых сотрудников, собственная команда по реагированию на инциденты информационной безопасности). "Необходимо учесть и технические аспекты: системы эмуляции подозрительного программного обеспечения в виртуальной инфраструктуре, эвристические системы защиты от APT-атак, поведенческого анализа пользователей и профилирования сетевой активности. Кроме того, необходима интеграция с облачными базами данных индикаторов компрометации, непрерывный контроль состояния информационных систем", - заявил Дмитрий Березин.

Глава представительства Avast в России и СНГ Алексей Федоров указал корреспонденту ComNews на то, что рассылка целевых фишинговых писем сегодня широко используется злоумышленниками и приводит пользователей на поддельные веб-сайты. "Хакеры создают контент для таких страниц, который зачастую и сам может оказаться вредоносным, хотя выглядит вполне реалистичным. Однако такой контент, как финансовые новости, анкеты и шаблоны документов, встречается редко. Как правило, фейковые сайты содержат потенциально вредоносное программное обеспечение, инфицированные копии официального софта, контент для взрослых и приложения для Android", - рассказал Алексей Федоров.

При этом, по его словам, число таких фишинг-кибератак, как вскрытые Group-IB, будет расти, поскольку специально созданные веб-сайты с постоянно обновляемым контентом выглядят менее подозрительно, чем взломанные и эксплуатируемые веб-страницы. Таким сайтам проще обойти системы межсетевых экранов, проверку репутации веб-сайтов и другие системы обнаружения, хотя их создание и потребует от хакера намного больше времени и усилий. Алексей Федоров добавил, что возможности использования поддельных сайтов безграничны: киберпреступники могут использовать эту схему (такую, как используется в обнаруженных Group-IB сайтах) как для атак на государственные и военные учреждения, так и на все виды бизнеса.

Насчет того, как защититься от такой схемы мошенничества, Алексей Федоров указал следующее: "Организациям и учреждениям следует внедрять строгие инструкции по реагированию на документы из непроверенных источников и неукоснительно им следовать. Обучение сотрудников и установка сильных антивирусных программ обеспечат защиту от подобных атак".

Специалист отдела технического сопровождения продуктов Eset Russia Борис Соболев, беседуя с корреспондентом ComNews, заявил, что в теории точкой входа в корпоративную сеть может стать любая рабочая станция. "Достаточно, чтобы потенциальная жертва - пользователь, имеющий доступ к сети, выполнил целевое действие - скачал документы с вредоносного сайта, открыл вложение фишинговой рассылки, установил на вид легитимное приложение и пр.", - заметил Борис Соболев.

Наиболее простой способ защиты от таких, как вскрытая Group-IB атак, по его словам, - исключить возможность попадания сотрудников, работающих с бухгалтерскими системами и ДБО, на заведомо подложные ресурсы. "Для этого компании ограничивают доступ к внешним ресурсам и/или открывают доступ к определенному списку сайтов", - указал Борис Соболев.

Далее, по его мнению, необходимо использовать комплексные антивирусные продукты на всех рабочих станциях сотрудников и своевременно обновлять программное обеспечение (ОС, модули обновлений продуктов для безопасности, браузеры, приложения, рабочие инструменты). "Обязательно проводить для всех сотрудников тренинги по информационной безопасности и компьютерной грамотности. Рекомендую социотехнические тесты - попытки получить доступ к рабочим станциям сотрудников и конфиденциальным данным методами социальной инженерии", - добавил Борис Соболев.

Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов в беседе с корреспондентом ComNews обратил внимание на тот факт, что использование поддельных ресурсов заданной тематики давно известно злоумышленникам. "Самые популярные атаки называются фишингом, в этих случаях злоумышленник копирует содержимое популярных сайтов", - указал Сергей Голованов. При этом, на его взгляд, метод, который используется мошенниками на сайтах, обнаруженных Group-IB, совсем не новый. Мошеннические сайты-клоны появляются регулярно. Например, в 2017 г. были зафиксированы массовые копирования интернет-страниц страховых компаний, ГИБДД, антивирусных компаний, файлообменных систем. Основная цель таких поддельных ресурсов - распространение вредоносных программ, кража учетных данных пользователей, оказание платных услуг и т.д.

"Более того, существуют и другие мошеннические схемы. Не так давно эту же вредоносную программу распространяли популярные российские новостные сайты. Также злоумышленники могут рассылать письма, использовать социальную инженерию, опираясь на личные данные, которые можно найти в открытом доступе. Злоумышленники постоянно изменяют векторы атаки в зависимости от ситуации и эффективности", - говорит Сергей Голованов.

Относительно того, кто, помимо пострадавших групп пользователей, может подвергнуться такого рода атакам, как выявленная Group-IB, Сергей Голованов сказал: "Все зависит от целей злоумышленников. Потенциальной жертвой может стать любой пользователь. Если главная задача - украсть деньги у юридического лица, то мишенью станут специалисты, работающие с ДБО, если шпионаж - будут отслеживаться адреса электронной почты, документы, договоры и т.д. с целью атаки на более крупную компанию. И практически любой человек может стать жертвой шифровальщика, требующего выкуп за восстановление информации".

Руководитель экспертного центра безопасности Positive Technologies (PT ESC) Алексей Новиков акцентировал внимание корреспондента ComNews на том, что, согласно статистике компании, в число самых распространенных методов атак входит использование вредоносного программного обеспечения (63% всех атак по статистике за I квартал 2018 г.). "Этот метод злоумышленники часто комбинировали с другими - например, с социальной инженерией или эксплуатацией веб-уязвимостей. При этом веб-сайты - второй по популярности способ распространения вредоносного программного обеспечения после фишинговых рассылок: до 31% всех заражений вредоносным программным обеспечением происходит во время посещения зараженного сайта", - рассказал Алексей Новиков.

Рассматриваемый (в случае с обнаруженной Group-IB сетью) способ мошенничества, по его словам, относится к типу "социальная инженерия", являющемуся достаточно распространенным. "Злоумышленники давно создают полные клоны официальных ресурсов либо создают веб-резурсы, привлекательные с точки зрения контента для тех групп лиц, на которые таргетируются такие атаки, и далее с использованием технологий SEO-оптимизации продвигают их выше в выдаче различных поисковых систем по соответствующим ключевым словам. Чаще всего этот подход применяется в финансовой отрасли, когда создаются клоны банковских сайтов с целью выманить у пользователей данные банковских карт или логины и пароли для входа в онлайн-банки. Наш опыт показывает устойчивую тенденцию по созданию клонов сайтов компаний Enterprise-уровня вне привязки к отрасли. Этот подход может быть использован в ходе целевой атаки, когда фейковый ресурс создается с ориентацией на конкретную целевую организацию", - проинформировал Алексей Новиков.

Он отметил, что организациям необходимо внедрять эшелонированную систему защиты и концентрироваться на создании процесса мониторинга событий ИБ на критических узлах: то есть необходимо контролировать безопасность тех активов (ПК, к примеру), на которых обрабатывается критическая для организации информация (включая финансовые транзакции).