Кибератака на рынок ЭДО: как справился «Контур.Диадок»

В начале августа 2025 г. через сервис «Контур.Диадок» попытались распространить банковский троян Buhtrap. Злоумышленники предварительно заразили компьютер одного из пользователей вредоносным ПО для удаленного управления и, перехватив сеанс работы пользователя в «Диадоке», начали рассылать вредоносные документы. Об этом CNews сообщили представители «Контура».

Атака началась с рассылки загрузчика трояна — файла, который антивирусы с трудом распознали. После открытия файла — текстового документа формата *.rft — загружался основной модуль трояна на компьютер жертвы. Рассылка шла вручную через скомпрометированные учетные записи клиентов.

Сообщения выглядели как обычные документы, подписанные электронной подписью клиента. Злоумышленники не ограничились рассылкой вредоносного ПО, в их арсенале числилась отправка архивов, позже архивов с паролем, исполняемых файлов, гиперссылок на загрузку вирусов.

Диагностика вредоноса была непростой, рассказывают эксперты. Первые отчеты из Virustotal не давали полной картины. На помощь «Диадоку» пришли специалисты из «Лаборатории Касперского», которые помогли выяснить всю цепочку заражения.

Что сделала команда, чтобы остановить рассылку вредоносного ПО

Уведомили других операторов ЭДО о возможном риске распространения вредоносных файлов. Отключили возможность массовой отправки неформализованных документов, так как это был основной канал распространения.

Начали работать с клиентами, которые могли попасть под удар, и объяснять им, как проверить свои системы на наличие вируса, и что делать при выявлении следов присутствия вредоносного ПО.

Заблокировали скомпрометированные учетные записи и начали удалять зараженный контент.

Виктор Середницкий, бизнес-партнер по ИБ в «Контуре»: «Суть атаки заключалась в том, чтобы заразить конечных пользователей. Если провести аналогию, то «Диадок» использовали в роли сервиса электронной почты при классических фишинговых атаках. По нашим сведениям, клиентам удалось избежать финансовых потерь. Каких-либо претензий в результате распространения вредоносного ПО мы не получили. В качестве дополнительной меры поддержки, пострадавшим пользователям предложили тарифные бонусы и возможность бесплатного перевыпуска сертификатов ключей электронной подписи в УЦ Контура».

Устраняя инцидент, инженеры и разработчики «Контура» усилили защиту сервисов: поменяли движок для анализа пользовательского контента на наличие вредоносного ПО; временно заблокировали возможность отправки архивов с паролем; внедрили механизмы противодействия распространению вредоносных гиперссылок; предложили клиентам дополнительные опции безопасности.

По просьбе клиентов команда информационной безопасности «Контура» опубликовала индикаторы компрометации вредоносного ПО, а ИБ-сообщество смогло лучше понять специфику атаки и сделать выводы.

В частности, эксперты проанализировали инцидент и установили, что атака была направлена на весь рынок ЭДО в России, а не в отношении конкретного оператора. По IP-адресам узлов управления вредоносным ПО, установлены скомпрометированные ресурсы иных операторов ЭДО, о чем своевременно проинформировали регулятора.

Виктор Середницкий, бизнес-партнер по информационной безопасности в «Контуре»: «Чему нас научил подобный опыт? Мы поняли, что в подобных атаках важно уметь вовремя реагировать на подозрительные события, при этом человеческий фактор продолжает играет важную роль в предотвращении инцидентов, автоматизация и системы принятия решений не дают 100% защиты от цифровых угроз».

Несмотря на сложный и изощренный сценарий атаки, команда «Контур.Диадока» быстро локализовала угрозу, защитила клиентов и помогла им избежать финансовых потерь.