Национальная служба экономической разведки

(383) 201-22-22, (383) 201-83-52

г. Новосибирск, ул. Железнодорожная, 6/2

Национальная служба экономической разведки – это крупнейшая Российская организация, занимающаяся сбором, обработкой и анализом информации экономического характера о ситуации в различных секторах рынка, а также его участниках.
Национальная служба экономической разведки специализируется на комплексном информационно-аналитическом обеспечении ведущих предприятий Российской Федерации. Благодаря профессионализму и огромному опыту сотрудников службы, мы добиваемся самых лучших результатов в работе и гордимся нашим вкладом в защиту экономической безопасности предприятий России.
Служба имеет представительства в разных регионах России, включая города федерального значения.

Инфостилеры угрожают крупному бизнесу

Вредоносные приложения, скрытно ворующие с компьютера пароли, финансовую и другую полезную информацию, существуют больше двадцати лет, а само слово «инфостилер» вошло в обиход в начале прошлого десятилетия. Но эти относительно простые виды вредоносного ПО стали все чаще появляться в непривычной роли — с них начинались многие крупные взломы и кибератаки последних лет

 

 

До инфостилера удалось проследить, например, кражу данных 500 млн клиентов Ticketmaster и атаку ransomware на Минздрав Бразилии. Главная сложность в борьбе с инфостилерами в том, что их невозможно победить, работая лишь с инфраструктурой и в периметре компании. Нужно учитывать нерабочую активность и личные устройства сотрудников.

 

Инфостилер — это приложение, которое злоумышленники неизбирательно устанавливают на любые доступные компьютеры для кражи любой полезной информации. Целью инфостилера в первую очередь являются пароли к учетным записям, данные криптокошельков, данные кредитных карт, а также куки из браузера. Последние позволяют украсть у пользователя текущую сессию в онлайн-сервисе. То есть если жертва вошла в браузере в рабочие аккаунты, то, скопировав куки на другой компьютер, злоумышленники в некоторых случаях могут получить к ним доступ, даже не зная учетных данных жертвы.

Кроме того, различные инфостилеры могут похищать переписки в e-mail и мессенджерах, воровать документы, красть изображения, делать скриншоты экрана или конкретных приложений. Встречаются экзотические варианты, которые пытаются распознавать изображения в JPG-файлах и находить на них текст (фото паролей и финансовых данных, например). Все перечисленное инфостилер отправляет на управляющий сервер, где эти данные складируются в ожидании перепродажи на черном рынке. Среди технических «достижений» инфостилеров за последние годы: новые способы кражи данных из защищенного хранилища браузеров, модульная архитектура, позволяющая собирать новые виды данных с уже зараженных компьютеров, а также переход на сервисную модель поставки этого вредоносного ПО. Востребованный инфостилер универсален: он должен уметь красть данные из десятков браузеров, криптокошельков, популярных приложений (Steam, Telegram, и т. п.). Стилер обязан быть устойчив к обнаружению защитными средствами; для этого злоумышленникам приходится часто модифицировать вредоносное ПО, заново его упаковывать, снабжать коллекцией средств защиты от анализа и отладки, а также повышать его скрытность.

Инфостилеры в основном используются для атак на пользователей Windows и macOS, причем стилеры для macOS — далеко не экзотика, а активно развивающийся и востребованный у преступников сегмент «рынка». Существуют стилеры и для Android.

 

В киберпреступности устоялось четкое разделение «труда». Одни злоумышленники разрабатывают сами инфостилеры и инструменты управления ими. Другие распространяют эти изделия на устройства жертв. Третьи пользуются украденными данными.  Распространители инфостилеров не пытаются воспользоваться украденными данными самостоятельно, а выставляют большие коллекции собранных данных на продажу на подпольных форумах. Затем другие злоумышленники покупают эти подборки логов и с помощью специальных инструментов находят интересные им данные. Одну и ту же подборку могут покупать и переупаковывать много раз: кто-то будет вытаскивать из этой кучи игровые аккаунты, кто-то — реквизиты банковских карт, а кто-то — учетные записи в корпоративных системах. Именно последний вариант использования логов набирает популярность с 2020 года. Злоумышленники поняли, что это дает им незаметный и эффективный способ проникнуть в организацию. Украденная учетная запись позволяет войти в корпоративную систему под видом настоящего пользователя, не применяя никаких уязвимостей и вредоносного ПО и не вызывая подозрений.

 

Защита каждого корпоративного компьютера и смартфона (EDR, EMM) необходима, но недостаточна. Нужно предотвратить заражение инфостилерами личных компьютеров сотрудников или смягчить последствия этого события. Решать эту проблему можно несколькими способами. Некоторые из них дополняют друг друга.

  • Запретить доступ к корпоративным системам с личных устройств. Это самый суровый, неудобный и не всегда возможный метод решения проблемы. В любом случае, он не решает проблему целиком. Например, если для рабочих задач используются публичные облачные сервисы (почта, хранение файлов, CRM), это ограничение, скорее всего, не удастся воплотить.
  • С помощью групповых политик запретить синхронизацию паролей в браузерах на корпоративном компьютере, чтобы они не перетекли на личные устройства.
  • Внедрить на периметре организации, во всех важных внутренних и публичных сервисах двухфакторную аутентификацию, устойчивую к фишингу.
  • Потребовать установить на личные ноутбуки и смартфоны корпоративную систему управления мобильными устройствами (EMM). Это позволяет контролировать защищенность личных устройств (проверять, имеют ли они свежие базы защитного решения, не отключено ли решение, защищены ли устройства паролем и шифрованием). Правильно настроенная система EMM не затрагивает личные файлы и приложения сотрудника, соблюдая на устройстве разделение рабочего и личного.

 

 

По материалам Касперский