Специалисты компании F.A.C.C.T. изучили почтовые рассылки, отправленные злоумышленниками в первом квартале 2024 года.
В апреле – июне фишинговые письма чаще всего отправлялись по четвергам, в 97% обнаруженных рассылок вредоносные программы были спрятаны во вложениях, в качестве бесплатных почтовых сервисов злоумышленники все чаще используют российские, а программы-шифровальщики использовались в качестве основной вредоносной нагрузки.
Атаки через почту в цифрах
Наибольшее количество фишинговых писем злоумышленники отправляли в четверг - 22,5 % от общего количества за неделю. Меньше всего вредоносных сообщений приходилось на воскресенье.
Статистика фишинговых атак по дням недели:
По данным аналитиков Центра кибербезопасности F.A.С.С.T., для фишинговых рассылок злоумышленники все реже используют бесплатные публичные почтовые домены, несмотря на относительную простоту процесса. Более 96,5% писем с вредоносным содержимым рассылаются с отдельных доменов: скомпрометированные почтовые ящики и доменные имена или подмена адреса отправителя в электронном письме с помощью спуфинга повышают вероятность вызвать доверие у жертвы.
В фишинговых рассылках злоумышленники, которые могут атаковать российских пользователей из любой точки мира, все чаще используют легенду, связанную с Россией и СНГ. В 2023 году менее 6% писем имели отношение к РФ и ближайшим странам, а остальные были массовыми нетаргетированными рассылками без подготовки, например, сообщения на английском с просьбой провести оплату или о готовности приобрести «вашу продукцию».
В 2024 году более 13% фишинговых рассылок, которые приходят на электронные адреса российских компаний, написаны на русском или другом языке стран СНГ, и «легенды» в сообщениях адаптированы под местные цели.
Число рассылок через бесплатные почтовые сервисы постепенно снижается, однако злоумышленники продолжают активно их использовать. Во втором квартале доля самой часто встречающейся общедоступной почтовой службы Gmail в фишинговых рассылках сократилась с 80,4% до 49.5%, а вот российских сервисов, наоборот, выросла почти в три раза с 13,1 до 35,3%.
Около 97% писем содержали вредоносные вложения, а доля сообщений с вредоносными ссылками увеличилась с 1,6 до 2,7%.
Что скрывается во вложениях?
Архивы форматов .rar (26,2%), .zip (22,5%), .7z (8,6%) и другие остаются основным расширением вредоносных вложений в рассылках. Их доля составляет 81,4%. Внутри архивов в подавляющем большинстве случаев находятся исполняемые файлы в PE-формате (Portable Executable). Доля файлов, связанных с офисными сервисами, осталась почти неизменной — 6,5%.
Вредоносные вложения к письмам за 2 квартал 2024 года:
По типу вредоносного программного обеспечения самыми распространенными являются инструменты для сбора данных и шпионажа. Наиболее часто встречающимися вредоносными программами в письмах по-прежнему является шпионская программа Agent Tesla (в 56,1% вредоносных рассылок), загрузчик CloudEyE (11%), стилер FormBookFormgrabber (10,5%).
Топ вредоносных программ в фишинговых рассылках:
Вредоносные письма на английском и языках стран, никогда не входящих в СНГ, в 51% содержало шпионское программное обеспечение. В сообщениях на русском или языках стран СНГ почти с одинаковой вероятностью можно было обнаружить одну из популярных категорий вредоносных программ: загрузчика, шпиона, стилера либо бэкдор.
Интересной особенностью вредоносных рассылок стало использование киберпреступниками программы-шифровальщика LockBit. Рассылка такой категории вредоносных программ не является типичной: программы-шифровальщики, как правило, применяются атакующими на финальном этапе атаки. Impact - это деструктивное воздействие, когда инфраструктура компании уже скомпрометирована, а рассылка вредоносного ПО на почтовые ящики чаще является только попыткой получения первоначального доступа (Initial access).
«Фишинговые письма остаются наиболее распространенным вектором компрометации корпоративных учетных записей и инфраструктуры компаний. Часто именно активность вредоносных программ, попавших в инфраструктуру организации через письмо, приводила к громким инцидентам с утечками данных или недоступностью сервисов. Мы видим, что фишинговые письма всё более качественно маскируются под легитимные сообщения и несут в себе умело спрятанные от стандартных средств защиты вредоносные инструменты, приспособленные под конкретные цели злоумышленников», - комментирует руководитель Центра кибербезопасности F.A.C.C.T. Ярослав Каргалев.
Рекомендации от экспертов
Для защиты от подобных киберугроз специалисты F.A.C.C.T. рекомендуют:
- Проводить регулярные обучения рядовых сотрудников организации для повышения их знаний в области информационной безопасности.
- Использовать для защиты инфраструктуры от подобных угроз комплексный подход, который может обеспечить решения класса XDR. Например, F.A.C.C.T. Managed XDR – решение, предназначенное для выявления сложных киберугроз на ранней стадии, а также осуществления превентивных мер защиты.
Оставайтесь в курсе актуальных новостей в сфере информационной безопасности и подписывайтесь на канал “Кибербез по фактам”, а также на наш остросюжетный телеграм-канал.
