Российские энергетические компании, заводы, поставщики и разработчики электронных компонентов столкнулись с атаками вируса-шпиона Unicorn. Через вредоносные рассылки в электронной почте он попадает в систему компании, и, как отмечают в «Лаборатории Касперского», зловред уникальный по своей стратегии.
Особенность этих атак заключается в том, что после кражи данных вредоносные скрипты остаются в системе. В отличие от других подобных зловредов, вместо того чтобы один раз украсть данные и замести следы, вредоносное ПО продолжает передавать злоумышленникам новые или обновлённые файлы, пока его не обнаружат и не примут меры, что потенциально увеличивает масштаб возможных потерь.
Вредоносное ПО распространяется через почтовые вложения или файлы на Яндекс.Диске, на которые ведёт ссылка из письма. При этом информацию о скопированных файлах, дате их последнего изменения, а также об уже переданных документах закрепившиеся в системе скрипты сохраняют в текстовые файлы и постоянно с ними сверяются, чтобы не повторяться.
Чтобы защитить организацию от Unicorn, «Лаборатория Касперского» рекомендует:
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга;
- установить надёжное защитное решение, которое автоматически будет отправлять подозрительные письма в спам;
- использовать продукты кибербезопасности, эффективность которых подтверждается независимыми тестовыми лабораториями;
- регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать известные уязвимости;
- использовать сложные и уникальные пароли для защиты корпоративных учётных записей и регулярно их обновлять. Для их создания и хранения рекомендуется использовать специализированные менеджеры паролей;
- предоставлять ИБ-специалистам возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence.
Читать материалы по теме:
Ростелеком опроверг информацию об утечке личных данных с сайта реестра электронных повесток
Хакеры атаковали российского производителя антивирусов «Доктор Веб»
Хитрый, быстрый, незаметный: новый зловред Loki атакует российские предприятия