Год продолжает катиться вперед, и трояны продолжают стопорить производства. Благо больших усилий сегодня это не требует, с нынешними продвинутыми вредоносами и не такими продвинутыми в плане кибербезопасности сотрудниками заводов.
Злоумышленники доставили зловреда LokiBot (шпион-троян) в инфраструктуру предприятия с помощью вредоносного письма с email-адреса одного из контрагентов предприятия. Вообще через почту сейчас происходит подавляющее большинство таких взломов.
Впервые LokiBot попал на радары ИБ-специалистов в 2015 году. Создатели трояна, которого не следует путать с одноименным Android-зловредом (тоже весьма выдающимся), обеспечили ему возможность красть информацию о зараженной системе, учетные данные электронных кошельков, браузеров, почтовых клиентов и т. д. Программа также умеет отслеживать и записывать нажатия клавиш, т.е. функционировать как полноценный кейлоггер.
Текущую кампанию LokiBot обнаружили в конце августа. Она была построена на более традиционных методах — сотрудник организации получил вредоносное электронное письмо. Отправитель сообщения ссылался на отсутствие своего коллеги и просил срочно просмотреть файл во вложении.
Злоумышленники отнеслись к содержанию письма весьма небрежно (или намеренно хотели поиздеваться, продемонстрировав глупость сотрудников предприятия). Так, в тексте письма злоумышленники упоминали один документ, тогда как во вложении находился другой. Файл зловреда, скрывавшийся в архиве, назывался Dora Explorer Games. Это название отсылает к героине детского мультфильма Dora the Explorer и не очень подходит для целевой атаки на промышленную организацию. Тем не менее, получивший письмо сотрудник не обратил на эти нестыковки внимания и запустил зловреда. Последствия инцидента компания оставила в секрете.
В 2019 году произошло сразу несколько крупных кибератак на промышленные предприятия (и у АКБ была целая серия материалов на эту тему). Некоторые наиболее заметные:
Шифровальщик LockerGoga атаковал норвежскую компанию Norsk Hydro, вынудив ее остановить процессы на производственных участках в нескольких странах. Через несколько дней этот же зловред проник на химические предприятия в США, после чего IT-специалисты потратили несколько недель, чтобы вернуть инфраструктуру в рабочее состояние.
Позднее стало известно о проблемах на заводе в Японии, которые были связаны с активностью зловреда-криптоджекера. Пострадало около 100 компьютеров, а обороты предприятия в результате инцидента упали на 60%.
На Ближнем Востоке ИБ-эксперты обнаружили новую группировку Hexane/Lyceum, которая активно атакует нефтегазовую отрасль. Преступники взламывают телекоммуникационные компании и проводят MitM-атаки с использованием авторского вредоносного ПО.
Эксперты АКБ хотели бы добавить следующий забавный факт: С помощью демонстрации вот такой картинки (стеганография!) вредонос LokiBot получал команду на распаковку в оперативной памяти зараженного устройства, а затем начинал воровать данные.
Читайте также на АКБ:
Кто ты, LockerGoga, гроза заводов? Вайпер, троян, вымогатель?
Хакеры вырубили еще один завод – теперь японский
Ястребиная ярость кейлоггера стопорит заводы и фирмы по всей планете