Хакеры теперь не только спамят — они имитируют работу

Под видом отчётов или заданий из бухгалтерии приходят файлы, которые тихо отключают защиту и крадут всё.

Киберпреступники запустили сложную многоуровневую атаку с целью «российские организации с пользователями Windows».

Они пытаются не просто украсть ваши пароли, но и полностью заблокировать компьютер, требуя выкуп. Атака маскируется под обычные рабочие процессы и бухгалтерские документы. А на деле является сплавом из хорошо известных методик, инструментов и угроз. Разберёмся, как это работает.

Как это работает

1. Приманка: Сотрудник получает архив с файлами, которые выглядят как обычные отчёты или задания (например, «Задание_для_бухгалтера_02отдела.txt»).
2. Скрытый запуск: Внутри архива находится файл-ярлык (.LNK). Если его открыть, запускается цепочка невидимых скриптов (PowerShell и VBScript).
3. Обман зрения: Пока вирус заражает систему, на экране открывается фальшивое окно «обновления Windows» или текстовый файл с инструкциями для бухгалтера. Это нужно, чтобы жертва ничего не заподозрила.
4. Удар по защите: Вирус использует инструмент Defendnot, который отключает ваш антивирус (Microsoft Defender), чтобы действовать безнаказанно.
5. Тотальный грабёж: Устанавливается троян Amnesia RAT. Он крадет пароли из браузеров (Chrome, Edge и др.), данные Telegram, криптовалютные кошельки и даже файлы с рабочего стола.
6. Финал — вымогательство: В конце система шифруется шифровальщиком-вымогателем, а на экран выводится сообщение о блокировке (WinLocker) с требованием денег.

Особенность атаки в том, что хакеры используют легитимные сервисы — GitHub и Dropbox — для хранения своих вирусов. Это помогает им обходить простые фильтры безопасности, так как трафик к этим сайтам обычно считается «безопасным».

Что делать?

Главное средство защиты – осведомлённость пользователей. Достаточно базовых знаний цифровой гигиены, чтобы не стать жертвой этой атаки. Под видом текстового документа жертва получает хитрый ярлык. Ярлык в письме, это почти наверняка попытка взлома.

Ещё одна преграда этой атаке – настроенные политики безопасности, которые не позволяют простым пользователям выполнять запуск критичных программ и рискованных операций от имени администратора.

Наконец, данная атака рассчитана на блокировку работы стандартного антивирусного решения, встроенного в Windows. Альтернативные антивирусы таким образом заблокировать не получится. Более того, для организаций существуют продвинутые системы комплексной защиты от взлома, которые ищут не конкретные вирусы, а опасное поведение программ: EDR и XDR-решения. Популярные продукты этих классов выпускают, например, Лаборатория Касперского и Positive Technologies.

Узнать, как они работают и заказать высокотехнологичные средства обеспечения информационной безопасности можно в АРБИС. Свяжитесь с нами для получения полной информации о приобретении отечественных бизнес-решений!

Обращайтесь в АРБИС по телефону в шапке профиля, письмом на электронную почту order_cib@arbis29.ru или через сообщения в нашем ВК-сообществе.