Письменный заброс: число атак хакеров по электронной почте за год удвоилось

Число атак на российских пользователей через электронную почту за год выросло в два раза, следует из данных мониторинга компании T.Hunter. Если в феврале 2022 года защитные решения этого разработчика заблокировали более 5 млн вредоносных писем, то в феврале 2023-го — около 10 млн. Тенденцию «Известиям» подтвердили представители других компаний по кибербезопасности. Эксперты связывают это с активизацией хакерских группировок на территории России после начала СВО и автоматизацией процесса генерации и отправки таких писем с помощью искусственного интеллекта. Чаще всего в сообщениях содержатся вирусы-трояны, а приходят они в утренние и обеденные часы — когда больше вероятность того, что пользователь их откроет.

Почтовый сюрприз

За последний год число атак на компьютеры россиян с использованием электронной почты выросло в два раза, рассказали «Известиям» в компании T.Hunter. Если в феврале прошлого года защитные решения этого разработчика обнаружили чуть более 5 млн писем с вирусами, то в за этот же период 2023-го — около 10 млн.

— С начала СВО число рассылочных писем с вредоносными файлами перманентно растет, и оно коррелирует с общим увеличением информационно-телекоммуникационных преступлений, — подчеркнул руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров.

Количество атак по электронной почте резко выросло с конца февраля 2022 года и эта тенденция продолжается, подтвердила директор по консалтингу группы компаний InfoWatch Ирина Зиновкина.

В то же время в «Лаборатории Касперского» замечают определенный спад активности хакеров. В январе-феврале защитные продукты компании выявили около 20 млн писем с вредоносными вложениями, тогда как год назад их было 25,7 млн. Однако, в своем блоге Securelist компания отмечает, что массовые рассылки вредоносного ПО происходят волнами, на большом промежутке времени количество срабатываний защитных механизмов «то растет, то падает», но в целом на протяжении последних лет имеется «восходящий тренд».

— Злоумышленники часто маскируют свои письма под деловую переписку. Уже три года подряд лидирующие позиции занимает троянец Agensla, крадущий учетные данные из браузера, а также почтовых и FTP-клиентов. В 2022 году он был самым распространенным вредоносным вложением в почте (7,14%). Второе место в 2022-м занимало шпионское ПО Noon (4,89%), а третье — троянец Badun (4,61%), распространяющийся под видом заархивированных электронных документов, — рассказал «Известиям» руководитель группы защиты от почтовых угроз «Лаборатории Касперского» Антон Ковтун.

Киберпреступники совершенствуют свои стратегии, констатируют другие участники рынка.

— Все чаще они используют средства искусственного интеллекта (ИИ), которые позволяют автоматизировать процесс генерации фишинговых писем. Сообщения, подготовленные таким образом, чаще всего с очень хорошо продуманной тематикой, что увеличивает вероятность их открытия и, как следствие, установки вредоносного ПО на компьютер жертвы, — сказал ведущий инженер по информационной безопасности в компании R-Vision Антон Кузнецов.

Еще одна тенденция — повышенная активность хакерских группировок на территории России.

— В прошлом году кибервойну российским организациям объявила известная хакерская группировка Anonymous, сейчас уже таких группировок насчитывается несколько десятков. В частности, группировка Key Wolf распространяет шифровальщик без возможности последующего дешифрования, — сказала Ирина Зиновкина.

В корпоративном доступе

Лидирующие позиции (91%) в хакерских рассылках, в частности направленных против корпоративного сектора, занимают программы-трояны, говорится в актуальном исследовании компании Positive Tecnologies.

— Связано это в первую очередь с широкой функциональностью троянов. При использовании такого софта злоумышленники могут достигать сразу нескольких целей: получать учетные данные пользователей и, соответственно, доступ к системе, платежные данные для хищения денежных средств, заниматься шпионажем и открывать бэкдор к системе (возможность скрытого удаленного управления компьютером жертвы. — «Известия») для проникновения в систему и распространения шифровальщиков по сети, — объяснил Антон Кузнецов.

Большинство обнаруженных образцов вредоносов являлись шпионским ПО (32%) — это программы, которые могут следить за активностью пользователя и передавать информацию о ней злоумышленнику. Они могут перехватывать нажатия клавиш, делать снимки экрана, сохранять учетные данные из приложений, собирать личную информацию — адреса электронной почты, данные банковских карт, cказала аналитик исследовательской группы Positive Technologies Екатерина Семыкина.

— На втором месте (21%) находятся средства кражи учетных данных. Их основные функции — перехват и компрометация учетных данных пользователя. Третье место заняли поддельные формы ввода, составившие 16% файлов. Они содержат скрипты, которые отправляют введенную информацию злоумышленникам, и обычно используются для кражи учетных данных,— продолжила эксперт.

Злоумышленники активно рассылают письма с вредоносами в утренние часы (с 4:00 до 7:00) и в обеденное время (с 13:00 до 15:00), говорится в исследовании Positive Tecnologies.

Результатом заражения информационных систем вредоносным ПО могут стать нарушение важных рабочих процессов, работоспособности инфраструктуры и клиентских сервисов, мошеннические операции, атаки на клиентов компании и другие негативные события — вплоть до недопустимых, способных поставить под угрозу существование бизнеса компаний-жертв.

Для минимизации рисков эксперты по информационной безопасности советуют не запускать неизвестные вложения. А если все-таки и делать это, то с использованием специальной технологии превентивного анализа — так называемой песочницы. Это выделенная изолированная среда для запуска и тестирования файлов, не затрагивающая основную операционную систему. Песочница запускает файл, анализирует действия, которые он совершает, и выдает вердикт о том, безопасен он или нет.

Иван Черноусов

Тематики: Безопасность

Ключевые слова: информационная безопасность