Pony проскакал по бухотчетности

В сентябре российские компании столкнулись с рассылаемым вредоносным программным обеспечением (ПО), замаскированным под бухгалтерские документы. Его запуск приводил к утечкам личных данных пользователей и подключению их компьютеров к ботнету. Только за месяц подобные письма получили 15,3% российских интернет-пользователей, утверждают в компании Check Point.

В топ-3 наиболее активных вредоносных программ в России по итогам сентября вошла Pony, распространявшаяся по e-mail под видом бухгалтерских запросов, сообщили “Ъ” в компании Check Point. Два других места в тройке заняли традиционно популярные майнеры криптовалюты — Cryptoloot и XMRig.

По оценке Check Point, в сентябре в России 15,3% пользователей были атакованы Pony — речь идет о получивших письма с ней, точное количество пострадавших неизвестно.

Pony распространяется через файлы с расширением .exe в письмах с темами, например, «Закрывающие документы вторник» или «Документы сентябрь». После открытия программа устанавливает другое вредоносное ПО, похищает учетные данные пользователей, отслеживает операции на компьютере и превращает его в ботнет — устройство, которое можно использовать для нелегальной деятельности. «Начало осени — время, когда заканчивается сезон отпусков, сотрудники возвращаются в офисы и количество коммуникаций возрастает. Злоумышленники отслеживают тенденции и подстраиваются под них»,— поясняет глава представительства Check Point в России и СНГ Василий Дягилев.

Специалисты «Ростелеком-Solar» фиксировали в сентябре фишинговые письма с похожими заголовками, подтверждает начальник отдела расследования инцидентов Solar JSOC Игорь Залевский. При этом, по словам эксперта, в подобных письмах распространялась не только Pony, но и файлы семейства RTM для удаленного администрирования компьютера, что дает злоумышленникам гораздо более богатый перечень возможностей, чем кража учетных данных.

«Самая простая и эффективная защита от таких атак — контентная фильтрация на почтовом шлюзе. Необходимо исключить передачу по электронной почте исполняемых файлов любых форматов»,— подчеркивает господин Залевский.

ESET Russia еще в апреле обнаружила вредоносное ПО, нацеленное на финансовые и юридические подразделения компаний, напоминают в пресс-службе разработчика. После того как потенциальная жертва искала образцы каких-либо документов, соответствующие предложения появлялись в рекламе сети «Яндекс.Директ». После перехода по ссылке предлагалось скачать нужный файл, но его запуск приводил к заражению устройства или всей корпоративной системы. После обращения в «Яндекс» баннеры были удалены, говорят в ESET.

Атаки, подобные Pony,— стандартная практика, констатирует руководитель аналитического центра Zecurion Владимир Ульянов. Среди причин их популярности он называет то, что бухгалтерии работают с важными данными, но далеко не всегда хорошо осведомлены об угрозах информационной безопасности, а значит, такое вредоносное ПО легче монетизировать. «Все компании работают с закрывающими документами, но не все сотрудники знают, как выглядят эти документы,— выше вероятность, что кто-нибудь попадется»,— поясняет господин Ульянов. Бороться с такими атаками нужно прежде всего повышением осведомленности персонала, уверен эксперт.

Pony относится к шпионскому ПО, а оно в целом входит в топ-3 типов вредоносного софта, которым пользуются киберпреступники, указывает старший специалист экспертного центра безопасности Positive Technologies Алексей Вишняков. По оценке компании, во втором квартале 2019 года шпионское ПО было использовано в 27% атак на юридические лица и в 20% атак на частных пользователей. Классические антивирусные решения, работающие по сигнатурному принципу или на основе эмуляции исполняемых файлов, здесь малоэффективны, продолжает господин Вишняков, выявить заражение позволяют средства анализа сетевого трафика и комплексные системы по сбору и мониторингу событий информационной безопасности.