Исследователи вычислили группу хакеров, ответственную за ряд масштабных BEC-атак на корпоративную почту судоходных фирм. За почти год деятельности злоумышленники выманили миллионы долларов. Об открытии стало известно в среду из доклада на конференции RSA.

Успешность злоумышленников объясняется небрежным отношением данной отрасли к безопасности и использованию устаревших компьютеров.

Исследователи подразделения Dell SecureWorks Counter Threat Unit назвали эту BEC-группировку Gold Galleon. По оценкам исследователей, преступники отрабатывали свои схемы исключительно на судоходных предприятиях, украв у них по меньшей мере 3,9 млн долларов в промежуток с июня 2017 года по январь 2018 года.

Группа Gold Galleon выбирала судоходные компании, занимающиеся управлением кораблями, портовым обслуживанием и денежными переводами командам (CTM).

Поскольку такие организации разбросаны по всему миру и работают в разных часовых поясах, их коммуникации полностью зависят от электронной почты, что делает их легкой добычей для BEC-мошенников. Так считает Джеймс Беттке (James Bettke) — ИБ-эксперт SecureWorks, руководивший расследованием.

«Есть несколько причин, по которым выбор [Gold Galleon] пал именно на эту отрасль. Во-первых, это идеальное сочетание слабой защиты и особой корпоративной культуры, — сообщил Беттке в интервью Threatpost. — Множество небольших судоходных компаний не заботятся о безопасности: у них нет двухфакторной аутентификации, а системы работают на Windows XP. Во-вторых, ряд таких предприятий работают на международном уровне и ведут дела преимущественно через электронную почту, где достаточно трудно заметить самозванца».

Исследователи SecureWorks выяснили, что группа Gold Galleon состоит по меньшей мере из 20 киберпреступников, скорее всего, из Нигерии. Вместе они реализуют различные этапы BEC-кампаний — от начальной компрометации до мониторинга аккаунтов.

Преступники из Gold Galleon собирают целевые адреса электронной почты из общедоступных источников, таких как веб-сайты компаний, а также применяют маркетинговые инструменты BoxxerMail или Email Extractor.

Заполучив доступ к входящей корреспонденции, киберпреступники извлекают список контактов утилитой EmailPicky.

Gold Galleon компрометируют своих жертв, полагаясь на методы направленного фишинга и вредоносные вложения. Они содержат средство удаленного доступа с возможностями кейлоггера и перехвата паролей.

«В инструментарий Gold Galleon входят такие кейлоггеры, как Predator Pain, PonyStealer, Agent Tesla и Hawkeye. Весь вредоносный арсенал Gold Galleon есть в свободной продаже на торговых онлайн-площадках хакеров», — отмечено в докладе SecureWorks.

Скомпрометировав аккаунты электронной почты, злоумышленники следят за входящими письмами сотрудников в ожидании сведений о ближайших транзакциях.

Когда наступает момент сообщить платежные реквизиты покупателю через инвойс, киберпреступник перехватывает управление почтовым ящиком продавца и меняет целевой банковский счет в инвойсе на аккаунт своего посредника.

«Чтобы выдать себя за продавца или покупателя при обсуждении транзакции, Gold Galleon и другие BEC-группировки покупают домены, максимально соответствующие названию компании продавца или покупателя, и называют такой процесс «клонированием»», — сообщают специалисты SecureWorks.

Изучив известные имена пользователей и пароли группы, специалисты SecureWorks связали Gold Galleon с популярным в Нигерии сообществом Buccaneer Confraternity, также известном как National Association of Seadogs.

В качестве защитных мер против таких атак специалисты SecureWorks рекомендуют потенциальным жертвам внедрить двухфакторную аутентификацию и проверить, нет ли в настройках корпоративной почты подозрительных правил перенаправления.

Категории: Вредоносные программы, Мошенничество, Уязвимости