Согласно данным аналитиков BI.ZONE Threat Intelligence, с начала текущего года промышленный и инженерный сектор занял второе место по популярности среди целей кибератак, уступив лишь государственным учреждениям. На его долю приходится 12% всех инцидентов, что на один процентный пункт больше, чем в финансовом секторе и логистике (по 11%). Об этом сообщили в пресс-службе BI.ZONE для IT Speaker.
В настоящее время 63 кибергруппировки проявляют активность в отношении российских промышленных предприятий. При этом для 32 из них основной целью остается шпионская деятельность. Эти злоумышленники, как правило, разрабатывают сложные вредоносные инструменты и осуществляют многоступенчатые атаки, стараясь как можно дольше оставаться незамеченными в инфраструктуре и постепенно похищая конфиденциальную информацию.
«В октябре и ноябре текущего года мы зафиксировали ряд атак на российские промышленные и инженерные компании со стороны шпионского кластера Arcane Werewolf. Под видом деловой переписки злоумышленники отправляли жертвам ссылки на вредоносное ПО. В этот раз атакующие особенно тщательно продумали свою маскировку: сетевой ресурс, с которого загружалась вредоносная программа, был замаскирован под сайт организации из той же группы компаний, на которую была направлена атака», – отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин.
Попадая на такую фишинговую страницу, жертва видела интерфейс, максимально приближенный к корпоративному файлообменнику своей компании – с соответствующей цветовой схемой и логотипом. Для большей убедительности доменное имя сайта также напоминало официальные ресурсы компании. С этого ресурса автоматически загружался ZIP-архив, содержащий как безобидные фотографии оборудования, так и вредоносный LNK-файл, замаскированный под PDF-документ.
При открытии поддельного документа с сервера злоумышленников загружался и запускался дроппер. Эта программа, помимо отвлекающего легитимного файла (например, отчета или уведомления), доставляла на устройство загрузчик Loki. Сначала загрузчик собирал базовую информацию о системе – имя устройства и пользователя, версия ОС, внутренний IP-адрес – и отправлял ее атакующим. Затем он загружал и запускал основной имплант Loki, который работал как троянец удаленного доступа, позволяя злоумышленникам скрытно выполнять произвольные команды на зараженном компьютере.
Ранее, согласно исследованию компании WMX, за три квартала 2025 года количество кибератак на веб-ресурсы российских промышленных компаний увеличилось более чем в четыре раза. Анализ проводился на основе мониторинга с использованием межсетевого экрана «ПроWAF».
MAX успешно прошел стресс-тест белыми хакерами
