Как злоумышленники похищают конфиденциальную информацию компнаий
Специалисты раскрыли ранее неизвестную хакерскую группировку. Она занимается корпоративным шпионажем, хотя киберпреступники участвуют в нем редко. Группа RedCurl действует менее трех лет. Предположительно она состоит из русскоязычных хакеров, сообщили в лаборатории компьютерной криминалистики Group-IB. Жертвами злоумышленников стали компании из разных стран от России до Канады. Хакеры рассылают вирусные программы под видом писем из HR-отделов. Как правило, в сообщениях говорится о денежных премиях. Как именно хакеры похищают корпоративные секреты? И возможно ли защитить компанию от таких атак? Об этом — Илья Сизов.
Письма с сомнительных адресов, в которых говорится о крупном денежном выигрыше, обычно автоматически отправляются в папку «Спам». Но группа хакеров RedCurl действует более изощренно. И ее целью становятся не простые граждане, а компании из сферы ритейла, строительства или страхования. Злоумышленники похищают корпоративные секреты, которые можно продать конкурентам. Причем к каждой компании индивидуальный подход, объясняет ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин:«Эти письма содержали логотипы, адрес организации и отправителя, также там фигурирует домен организации, была ссылка на облачное хранилище. Вредоносный архив без проблем загружался пользователем, так как этот исполняемый файл, который был в архиве, имел иконку собственного документа, например, PDF или Word. Когда он его открывал, ему как раз и демонстрировался такой файл. В фоновом режиме все необходимое копировалось в определенные каталоги, но пользователь этого просто-напросто не видел».
Сотрудники компаний становятся жертвами хакеров из-за банальной невнимательности. И большинство проблем с безопасностью можно решить обучением персонала, говорит гендиректор агентства разведывательных технологий «Р-Техно» Роман Ромачев.Но, по его словам, на защите данных в России часто экономят или вообще не задумываются об этом вопросе:«Есть IT-службы, специалисты, которые поддерживают инфраструктуру. Но вопросам информационной кибербезопасности уделяется достаточно мало внимания. Наверное, 80% всех подобных атак совершается из-за халатности либо из-за человеческого фактора. Достаточно применять административные меры, проводить корпоративные семинары, мероприятия, обучение, которое позволит вашим сотрудникам понять, что такое коммерческая тайна и как с ней необходимо работать. В России безопасность — это расходная, а не инвестиционная статья. Поэтому у нас подход такой, что лучше мы сэкономим, дай бог, нас пронесет и не постигнет беда».
В компаниях, которые работают с чувствительной информацией, говорят, что тренингов по цифровой культуре все же недостаточно. Даже обученных сотрудников приходится тщательно контролировать и перепроверять, отмечает заместитель директора группы компаний «Финансовые услуги» Григорий Галицких: «Даже проходя регулярное обучение по информбезопаности и сдавая экзамены на отлично, сотрудники продолжают нарушать нормы в силу просто человеческой природы. Кто-то держит на компьютере Viber, WhatsApp, кто-то придумывает пароли наподобие 12345, поэтому у нас существует система перекрестных проверок. Условно говоря, Вася из офиса №1 проверяет Машу из офиса №5. Человек подключается дистанционно и идет по чек-листу, отслеживает это на компьютере. В почте переписке не дают открывать определенные файлы, удаляют приложения, проводят аудит».
Для защиты коммерческой тайны используют и довольно радикальные решения. Например, автоматически удаляют все корпоративные письма с вложенными файлами или ссылками. Особенно часто к этому стали прибегать во время пандемии, когда большая часть сотрудников перешла на удаленку, поясняет директор департамента информационной безопасности «Национальной инжиниринговой корпорации» Лука Сафонов: «Раньше это был закрытый периметр компании, у которой два-три входа и выхода. С переходом сотрудников на удаленку это все ухудшило картину. Я знаю, что многие компании серьезно закрутили гайки относительно пересылки писем, разного рода ссылок — вплоть до уничтожения этих писем. Лучше пускай ничего не дойдет до пользователя, чем он что-то подхватит, тем более находясь вдали от IT-специалистов».
Собеседники “Ъ FM” говорят, что серьезная защита данных для компаний — недешевое удовольствие. Особенно когда приходится использовать сложные компьютерные системы, созданные только для этих целей. Хотя когда речь идет о корпоративных секретах, возможно, оно того стоит.
В Group-IB отмечают, что хакерская группировка RedCurl по-прежнему активна. А ущерб от ее работы можно оценить в десятки миллионов долларов.
Авторы: Илья Сизов
«Коммерсантъ FM» от 13.08.2020
kommersant.ru/doc/4451538