ИБ-компания Crowdstrike рассказала в своем отчете Cyber Intrusion Services Casebook 2018 про случай, когда всего через один зараженный в интернет-кафе ноутбук преступникам Indrik Spider удалось скомпрометировать всю инфраструктуру и получить доступ к десяткам систем.
Исследователи не приводят название пострадавшей компании, охарактеризовав ее лишь как «производителя одежды с магазинами по всему миру». По словам специалистов, заражение произошло таким образом: сотрудник фирмы взял корпоративный ноутбук с собой в кофейню и открыл на нем сайт одного из партнеров компании (из текста не вполне ясно, фальшивый или настоящий – прим. АКБ), на который его привело фишинговое письмо.
Сайт был заражен вредоносным ПО FakeUpdates, которое ранее в этом году распространялось в ходе масштабной кампании, затронувшей тысячи сайтов на Joomla и WordPress. Зловред загрузил на ноутбук сотрудника банковский троян Dridex и набор инструментов PowerShell Empire, которые остались незамеченными установленным антивирусом, поскольку он полагался на корпоративную сеть для обнаружения угроз.
Вредоносное ПО было найдено только по возвращении в офис компании, но к тому времени злоумышленники уже проникли в сеть, скомпрометировали всю инфраструктуру и получили доступ к десяткам систем с помощью эксплоита PowerShell. Эксперты уточняют, что, используя утилиту Mimikatz, атакующие смогли собрать учетные данные, получить доступ к серверам, в том числе к серверам розничных магазинов, а также установить PoS-вредонос Framework, предназначенный для кражи данных кредитных карт.
Организатором атаки, по мнению Crowdstrike, была нруппировка Indrik Spider, действующая с 2014 года и в основном известная распространением вымогательского ПО BitPaymer, которое, как полагают эксперты, принесло своим операторам миллионы долларов.
Читайте также на АКБ как сотрудник американской госслужбы с невероятно ироничным названием EROS (Earth Resources Observation and Science) просмотрел на рабочем месте девять тысяч страниц с порнографией и заразил правительственную компьютерная сеть в США . А также как собираются радикально бороться с зараженными «флэшками» в российской армии .
