Специалисты Check Point установили личность преступника-одиночки, который действовал в лучших традициях APT-групп и стоял за серией таргетированных атак, направленных против более 4000 компаний из энергетической, горнодобывающей и инфраструктурной отраслей.

Данная вредоносная кампания стартовала в апреле 2017 года и была нацелена на крупнейшие международные организации нефтегазовой, производственной, финансовой и строительной отраслей. Широкий размах операций, а также цели, которые выбирали злоумышленники, заставили экспертов поверить, что они имеют делать с APT-группой или неким спонсируемым государством агентством. Среди пострадавших от атак стран числятся Хорватия, Египет, Германия, Кувейт, Абу-Даби и так далее.

Теперь выяснилось, что эта кампания — дело рук одинокого двадцатипятилетнего гражданина Нигерии, который проживает неподалеку от столицы страны. На его странице в Facebook стоит статус: «Разбогатей или умри, пытаясь» (Get rich or die trying).

Злоумышленник, чье имя не раскрывается, использовал фишинговые письма, замаскированные под сообщения от компании нефтегазового сектора Saudi Aramco, второго в мире поставщика нефти. Мошенник рассылал эти послания финансовым работникам компаний, которые в ответ должны были раскрыть банковские данные или открыть вредоносное вложение. Стоит отметить, что злоумышленник практически не применял социальную инженерию и не изучал бэкграунд своих жертв, а послания зачастую были написаны весьма топорно и отправлялись с адресов sale.cement_till_tw@yahoo.com и cciticarinternational@yahoo.com.

Для компрометации жертв мошенник использовал троян NetWire, который позволяет полностью контролировать зараженное устройство, а также кейлоггинговую программу Hawkeye. Как ни странно, данная тактика привела к 14 успешным заражениям и принесла злоумышленнику несколько тысяч долларов.

Майя Хоровиц (Maya Horowitz), руководитель группы Threat Intelligence компании Check Point Software Technologies, комментирует:

«Несмотря на то, что этот человек использует некачественные фишинговые письма и вредоносные программы, которые легко найти в интернете, его кампания способна атаковать тысячи организаций по всему миру, заразив при этом несколько из них. Это демонстрирует, насколько легко непрофессиональный хакер может начать масштабную атаку, которая успешно обойдет защиту даже крупных организаций и позволит ему добиться преступных целей. Именно поэтому организациям необходимо совершенствовать свою систему безопасности, чтобы обеспечить защиту от фишинга и мошеннических писем. Также необходимо обучать сотрудников быть осторожными при открытии сообщений даже от компаний или личностей, которых они знают».

Как только кампания была обнаружена и удалось установить ее происхождение, исследовательская команда Check Point поставила в известность правоохранительные органы Нигерии, а также поделилась своими выводами на международном уровне.

Исследователи напоминают, что в последние 18 месяцев количество подобных атак, компрометирующих компании посредством почты (Business Email Compromise — BEC), резко возросло. Так, представители ФБР отчитались о 270% росте жертв с начала 2016 года. Общий объем ущерба, причиненного организациям по всему миру с 2013 по 2016 год, превышает три миллиарда долларов — таким образом, в среднем, жертва BEC-атаки теряет около 50 000 долларов за инцидент.



6 комментариев

  1. qip

    16.08.2017 at 12:50

    Майя Хоровиц бросает вызов наверняка настоящим кул-хакерам показать как надо….. это так надо понимать ????????

  2. Tuw

    16.08.2017 at 13:44

    Get rich or die trying — чел фифти цента пересмотрел))

  3. Skybad

    16.08.2017 at 17:47

    Нормальный такой парень……..

  4. Il

    16.08.2017 at 21:43

    Во выйдет из тюрьмы и будет злее, а то может ив тюрьме продолжит богатеть

  5. Владиславище

    17.08.2017 at 23:46

    Сыграл пресловутый «Человеческий фактор». Я и сам получал африканские письма счастья… написаны настолько коряво, что повестись на них мог только совсем не грамотный User. Это возвращает нас к тому, что персонал необходимо обучать, т.е. тратить деньги на обучение компьютерной грамотности. Ни одна защита в Мире (антивирус, фаервол, спамфильтр) не защитят от безграмотных действий пользователя.

  6. john_

    20.08.2017 at 04:42

    И один в поле воин…. только не написали как вычислили. Опять яху сдал? Лучше бы протонмейл использовал…

Оставить мнение