Хакеры взломали десятки российских компаний из-за уязвимости в электронной почте Microsoft Exchange
Хакеры незаметно похищали внутреннюю переписку организации, а затем вымогали деньги за непубликацию украденных данных. Под прицелом оказался средний и малый бизнес. Суммы, которые требовали киберпреступники доходили до $10 тыс.
Бизнес страдает от Microsoft Exchange
С августа 2022 г. десятки российских организаций были взломаны через уязвимость сервера рабочей почты Microsoft Exchange, сообщили CNews специалисты компании BI.ZONE.
Жертвами кибермошенников стали в основном представители малого и среднего бизнеса. Хакеры атаковали компании с помощью специальной утилиты, которая позволяла выгружать все переписки с почты вместе с файлами, прикрепленными к письмам.
При этом сами компании не могли засечь утечку данных. В фирмах узнавали о таких проблемах, когда с почты security4real@proton.me специалистам по кибербезопасности компаний начинали приходить сообщения от злоумышленников.
Хакеры требовали оплатить оказанные услуги аудита безопасности, что в действительности становилось выкупом баз данных. В некоторых письмах сумма, которую требовали взломщики доходила до $10 тыс.
По словам Теймура Хеирхабарова, директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, жертвами хакеров стали компании, которые не смогли вовремя установить последние обновления безопасности на сервер Microsoft Exchange.
Об уязвимости было известно еще осенью 2021 г., тогда же эту проблему и устранили.
Число хакерских атак растет с весны
Как сообщают в Positive Technologies, в целом количество атак на российские компании в первом полугодии 2022 г. увеличилось на 18% по сравнению с предыдущим полугодием. При этом малый бизнес реже подвергается целевым атакам, по сравнению со средним и крупным.
«Можно выделить общие методы атак и угрозы, которые будут актуальны для организаций любого масштаба, — рассказала CNews Яна Юракова, аналитик исследовательской группы Positive Technologies. — В качестве одного из таких методов выступает эксплуатация уязвимостей в ПО на сетевом периметре компании, в том числе уязвимостей нулевого дня. Для поиска уязвимых узлов злоумышленники проводят массовое сканирование, а для эксплуатации готовые общедоступные скрипты, таким образом атака выполняется в автоматическом режиме. В результате эксплуатации уязвимости злоумышленники, например, могут получить доступ во внутреннюю сеть компании и затем провести атаки на внутренние ресурсы, развернуть вредоносное ПО или провести атаку типа BEC, когда от имени топ-менеджера компании или от имени лица, имеющего доступ к денежным счетам организации, направляется запрос на перевод денежных средств на счет злоумышленников».
Еще один популярный и успешный метод атаки, по словам аналитика, — это использование техник социальной инженерии. Такие атаки могут быть направлены на кражу учетных данных или другой конфиденциальной информации или на финансовую выгоду, если, например, к письму был прикреплен файл с вредоносной нагрузкой — шифровальщиков, банковским трояном или майнером.
«В результате атаки компания может столкнуться с недопустимыми для нее событиями, что напрямую скажется на функционировании бизнеса. — рассказала CNews Яна Юракова. — Может быть зашифрована вся инфраструктура и украдена конфиденциальная информация. Как итог, компания не сможет вовремя подготовить бухгалтерскую отчетность, основной продукт компании будет недоступен для клиентов и партнеров, а у злоумышленников оказалась база данных клиентов, которую они продали конкурентам. Последствиями атаки будет финансовый и репутационный ущерб и не обойдут компанию стороной и регуляторные санкции. Таким образом, из-за одной атаки компания может прекратить свое существование».
Что делать?
Чтобы избежать киберугроз в случае с уязвимостью ПО, следует своевременно устанавливать обновления безопасности, особенно для софта, расположенного на сетевом периметре компании, а также держать в актуальном состоянии перечень компонентов сетевого периметра и периодически сканировать его на предмет уязвимостей, советует Яна Юракова.
«Такие атаки лишний раз напоминают о важности своевременного закрытия изъянов в периметре кибербезопасности компании, а также о том, что сегодня любой бизнес вне зависимости от масштаба организации обязан уделять все больше внимания цифровым рискам, которые ему угрожают», — отметил Хеирхабаров.
Однако защититься от ситуаций, когда мошенники используют техники социальной инженерии довольно сложно, полагает Юракова, так как в них задействован человеческий фактор.
«Впрочем, можно значительно уменьшить количество успешных для злоумышленников исходов. Для этого следует проводить обучение сотрудников с обязательной проверкой изученного материала и устраивать учения. В рамках учений сотрудникам будут рассылаться специально подготовленные фишинговые письма», — сообщила эксперт.
Что делает государство
Напомним, что в начале марта 2022 г. на российском рынке приостановили свою деятельность компании Microsoft, Oracle, SAP и др. С 31 марта 2022 г. Президент России Владимир Путин запретил приобретать иностранное ПО для объектов критической информационной инфраструктуры в России. Полностью перейти на российский софт планируют к 2025 г.
В августе 2022 г. CNews сообщал, что Минцифры создаст реестр недопустимых нарушений кибербезопасности в российских компаниях. В реестр будут включены опасные для ИТ-инфраструктуры предприятий сценарии кибератак, которые «нельзя допускать ни при каких условиях».
Как пояснил независимый эксперт по кибербезопасности Алексей Лукацкий, сейчас компании направляют в Минцифры абстрактные формулировки о рисках кибербезопасности, за которыми не стоит понимания проблемы. Реестр же, наглядно покажет, от чего каждая компания должна защититься. Как ожидается, реестр будет создан до конца 2022 г.