Вот что вам нужно знать о троянском коне Dridex
Древнегреческая история о Троянском коне описывает, как греческие солдаты захватили город Трою, спрятавшись внутри гигантского деревянного сооружения, которое они предложили в качестве подарка.
Историки говорят, что эта история, скорее всего, является мифом, но вредоносные программы-троянские кони настолько реальны, насколько это возможно: это тип вредоносного программного обеспечения, которое скрывает свое истинное намерение, чтобы вторгнуться в компьютер или сеть. И один из самых распространенных банковских троянцев всех времен – это Dridex.
Так как же работает Dridex? Это все еще угроза? И как не стать жертвой?
Что такое Дридекс и как он работает?
Dridex впервые появился в 2011 году под названием Cridex, но также известен как Bugat. Считается, что он произошел от троянца Zeus, который был широко распространен в то время.
Разработанный для кражи банковских учетных данных у пользователей компьютеров Windows, Dridex обычно развертывается по электронной почте и устанавливается через файл Microsoft Office.
Вот как обычно происходят атаки Dridex.
Во-первых, киберпреступники получают тысячи адресов электронной почты и отправляют сообщения, содержащие вредоносные файлы Word или Excel. Они используют элементарную технику социальной инженерии, чтобы обманом заставить цель загрузить и открыть файл – выдать себя за законную сущность, например PayPal или UPS.
Чтобы просмотреть загруженный файл, жертва должна разрешить редактирование, что позволяет запускать макровирусы, встроенные в документ. После заражения целевого компьютера вредоносная программа начинает записывать нажатия клавиш и собирать банковские учетные данные.
С 2011 года было выпущено несколько версий Dridex, при этом вредоносное ПО постоянно развивается и становится все более сложным. Он перешел от нацеливания на отдельных лиц к использованию против банковских учреждений и крупных организаций.
До 2016 года Dridex в основном нацелился на банковские счета в Европе и Азии, но затем переместил свое внимание на Соединенные Штаты.
Например, в начале 2021 года, когда американцы изо всех сил пытались свести концы с концами из-за пандемии коронавируса, возникла новая кампания Dridex: тысячи получили электронные письма от того, что выглядело как Служба внутренних доходов (IRS), с просьбой заполнить форму для подать заявку на стимулирующие проверки Американского плана спасения.
По данным правительства США , Dridex нанесла серьезный ущерб сотням банков и финансовых учреждений в более чем 40 странах мира, в результате чего было украдено более 100 миллионов долларов.
Примечательно, что когда появляется новая версия Dridex, старые версии перестают работать, что показывает, что одни и те же люди участвовали в ее разработке и развертывании в течение почти десяти лет.
Широко распространено мнение, что за Dridex стоит печально известная российская киберпреступная организация Evil Corp.
Группа, похоже, связана с российской разведкой. Его предполагаемому лидеру Максиму Якубцу в 2019 году было предъявлено обвинение Министерством юстиции США, которое предлагает вознаграждение в размере 5 миллионов долларов за информацию, ведущую к его аресту.
Почему Dridex по-прежнему представляет собой серьезную угрозу?
Dridex представляет собой постоянно развивающуюся разновидность вредоносных программ и по нескольким причинам остается серьезной угрозой для банков, предприятий и частных лиц.
Вредоносная программа, особенно ее последние версии, практически не поддается обнаружению, может обходить антивирусное программное обеспечение и практически не оставляет следов в зараженной системе.
В отличие от большинства троянских программ, Dridex может маскироваться под законный системный процесс Windows и использовать сложную технику белого списка приложений, чтобы избежать обнаружения.
В апреле 2021 года исследователи кибербезопасности из Check Point назвали Dridex самым распространенным вредоносным ПО в мире.
Угроза, исходящая от Dridex, стала двоякой. Хотя это вредоносное ПО является опасным само по себе, оно также используется на начальных этапах атак программ-вымогателей, когда киберпреступник развертывает вредоносное ПО, которое шифрует данные организации и требует выкуп за их разблокировку.
Атаки программ-вымогателей участились с начала пандемии COVID-19, а переход к удаленной работе подвергает организации еще большему риску.
По некоторым оценкам , вымогатели обошлись компаниям во всем мире примерно в 20 миллиардов долларов в 2020 году по сравнению с 11 миллиардами долларов в 2019 году, что делает атаки вымогателей на сегодняшний день самой быстрорастущей киберугрозой.
Как защититься от дридекса
Есть практически только один способ узнать, способно ли ваше антивирусное программное обеспечение обнаруживать Dridex, но, очевидно, было бы очень неразумно идти на такой риск.
Само собой разумеется, что вы никогда не должны нажимать на подозрительные вложения или ссылки , но мошеннические электронные письма, имитирующие законные объекты, иногда почти безупречны, и можно очень легко совершить ошибку, загрузив зараженное вложение.
Вот почему вам всегда нужно обращать внимание на адрес электронной почты отправителя, а не только на его имя. Подлинное электронное письмо от службы онлайн-платежей Payoneer, например, всегда будет приходить с официального домена (например, noreply@payoneer.com).
Если вы не уверены, является ли электронное письмо законным или нет, вы всегда можете погуглить адрес отправителя и посмотреть, что получится.
Если вы загрузили файл, который кажется подозрительным, не открывайте его. Вместо этого перейдите на VirusTotal и загрузите туда файл – этот инструмент быстро просканирует файл на наличие опасного содержимого.
VirusTotal также может сканировать веб-адреса, чтобы определить, безопасны ли они. Однако, как и любой другой инструмент, у него есть свои ограничения, поэтому всегда лучше дважды проверять подлинность адреса электронной почты.
Что касается частных компаний и подобных организаций, то даже те, которые используют надежную защиту от вредоносных программ, могут стать жертвой кибератаки; сотрудники – самая частая причина нарушений.
По этой причине работодатели должны обучать персонал различным типам вредоносных программ и стремиться создать здоровую культуру на рабочем месте, основанную на безопасных методах кибербезопасности.
Приобретение программного обеспечения для мониторинга сотрудников – это всегда вариант и, возможно, лучший способ следить за сотрудником и отслеживать его онлайн-активность. Обратите внимание, что некоторые инструменты мониторинга являются инвазивными, и их следует избегать.
Работодатели, которые считают необходимым дополнительный уровень безопасности, также должны рассмотреть возможность инвестирования в системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS).
Комбинация технологий IDS и IPS обеспечивает надежную защиту от большинства угроз, включая Dridex.
Практикуйте основные меры безопасности
Dridex остается огромной угрозой для всех, но вы можете минимизировать риски, выполнив простые процедуры безопасности.
Это включает в себя подозрительность к любым необоснованным электронным письмам, отказ от перехода по ссылкам или вложениям и регулярное сканирование на вирусы. Риск все еще есть, как всегда, но, тем не менее, он снижен.