С начала пандемии количество таргетированных фишинговых атак на фармацевтический сектор в России увеличилось в полтора раза, обнаружили эксперты. Одну из компаний, например, атаковали северокорейские хакеры Lazarus. Киберпреступников интересуют информация о разработке вакцин и выкуп за расшифровку данных: фармацевтические компании обычно готовы платить хакерам чаще, чем представители других отраслей.
Фото: Юрий Стрелец, Коммерсантъ
Фото: Юрий Стрелец, Коммерсантъ
Тренд на атаки на фармацевтические компании добрался до России, предупреждают эксперты по кибербезопасности. За период пандемии количество таргетированных фишинговых атак на фармсектор выросло в полтора раза, рассказал директор департамента информационной безопасности Biocad Евгений Артюхин. Несколько источников сообщили, что одна из крупных российских фармацевтических компаний в сентябре 2020 года была атакована северокорейской группировкой Lazarus.
Один из собеседников “Ъ” добавляет, что крупная атака состоялась на компанию «Р-Фарм».
В самой компании отказались от комментариев.
Сентябрьскую атаку Lazarus проанализировали в компании Positive Technologies. Согласно этому исследованию, сотрудники фармацевтической компании получили фейковые предложения о работе в американской General Dynamics Mission Systems. Письма от мошенников приходили разным сотрудникам на e-mail, в Telegram или LinkedIn, те открывали письма на домашних компьютерах, активируя таким образом вредоносные вложения из них, что позволило хакерам получить доступ к устройствам.
Когда сотрудники удаленно подключились со скомпрометированных устройств к корпоративному серверу, у злоумышленников появилась возможность проникнуть в корпоративную сеть, и за четыре дня они получили частичный контроль над инфраструктурой компании, указывает Positive Technologies.
По данным исследователей, это не первая атака северокорейской группировки с упоминанием General Dynamics Mission Systems: аналогичные атаки проводились в том же географическом сегменте (по данным “Ъ”, российском). О том, что группировка Lazarus активизировалась в России, “Ъ” сообщал 23 июля 2020 года.
У атак на фармацевтические компании есть как минимум две причины: во-первых, все хотят получить доступ к данным, касающимся разработки и производства вакцин от коронавируса, рассуждает директор по росту BI.ZONE Рустэм Хайретдинов. Во-вторых, по его словам, фармацевтические компании зачастую соглашаются платить вымогателям. В среднем лишь 30% атакованных предприятий платят выкуп злоумышленникам, у фармацевтических компаний этот показатель выше, отмечает господин Хайретдинов.
Киберпреступников привлекают и возможности для фишинга на фоне актуальности коронавирусной тематики, и простая монетизация за счет продажи персональных данных пациентов на черном рынке, полагает директор по развитию бизнеса центра противодействия кибератакам Solar JSOC Алексей Павлов.
В случае с закрытыми лечебными учреждениями (в том числе с теми, что аффилированы с силовыми структурами) получение персональных данных пациентов и сотрудников может быть промежуточным шагом в масштабной атаке со стороны кибергруппировок, спонсируемых другими государствами, добавляет он.
Рост числа атак связан с повсеместным переходом на удаленную работу, использованием все большего числа домашних устройств в сетях компаний, переходом на облачные технологии, усталостью сотрудников, перегрузкой аналитических центров событиями, рассуждает эксперт по информационной безопасности Денис Батранков.
В защите от подобных атак важно не только то, какие средства защиты внедрены в компании, но и то, насколько осведомлены сотрудники в вопросах информбезопасности, подчеркивает Евгений Артюхин. Он рекомендует уделять внимание внутренним программам повышения осведомленности пользователей, проводить периодические тренинги и проверку усвоенных материалов, чтобы защитить сотрудников от неверных действий и снизить риски информационной безопасности.