Эксперты рассказали о хакерских атаках на российские компании от имени «Ашана» и «Дикси»

Более 50 крупных российских компаний с ноября стали жертвами массовой фишинг-рассылки, которую хакеры совершали от имени менеджеров крупных российских брендов. Об этом РБК рассказали представители компаний «Ростелеком-Solar», Group-IB и Positive Technologie, специализирующихся на вопросах кибербезопасности.

Хакеры в рабочие часы по будням рассылали сотрудникам компаний электронные письма, содержавшие вирус-шифровальщик Shade/Troldesh. Тот кодировал файлы на устройствах пользователей и требовал плату за доступ к ним. Сотрудники около 50 крупнейших компаний России получали в день по 10-50 писем. Наибольшая активность пришлась на февраль — всего эксперты Group-IB фиксировали до 2000 рассылок в день.

Опрошенные изданием эксперты уверяют, что ранее не встречались с массовыми рассылками, имитирующими популярные розничные сети. Они отметили, что ранее хакеры также редко использовали для рассылок вместо серверов такие «умные» устройства, как например, роутеры в странах Азии и Латинской Америки. Отследить взломанное сетевое устройство, с которого произведена атака, намного сложнее, чем сервер.

Сначала письма приходили от имени менеджеров Газпромбанка, потом также от «Открытия» и Бинбанка. Позднее, чтобы привлечь большее внимание, они стали представляться сотрудниками менее специализированных брендов, торговых сетей «Ашан», «Магнит», «Дикси», Metro Cash & Carry, застройщика ГК «ПИК», производителя сигарет Philip Morris и нефтяной компании «Славнефть».