Polskie instytucje publiczne i ich przedstawiciele znowu znaleźli się na celowniku rosyjskich cyberprzestępców – ustalił Eset. Łączona z rosyjskim GRU grupa Sednit rozsyłała fałszywe maile z planami posiedzeń Parlamentu Europejskiego, aby zachęcić ofiary do pobrania zainfekowanego pliku archiwum RAR.

Badacze Esetu odkryli, że celem rosyjskich cyberprzestępców były ponadto polskie i ukraińskie firmy logistyczne.

Eksperci określają je jako wyjątkowo perfidne. Cyberprzestępcy przesyłali wiadomość z informacją o zaszyfrowaniu danych, z żądaniem wykupienia oprogramowania w celu ich odzyskania – innymi słowy okupu. Następnie, nawet jeśli ofiara wpłaciła pieniądze, dane były kasowane. Widać, że przestępcom ewidentnie nie zależało na zyskach finansowych.

Według ustaleń Eseta grupy cyberprzestępców współpracujących z rosyjskim wywiadem coraz częściej do ataków wykorzystują podatności w popularnych narzędziach, takich jak np. WinRAR czy Outlook.

Wybierają je, ponieważ takiego oprogramowania używają na co dzień firmy, więc trudniej jest zauważyć coś podejrzanego. Skupiają się również na atakach na komunikatory internetowe.

Instytucje publiczne m.in. w Polsce zostały również zaatakowane poprzez fałszywe zaproszenia na spotkania rozsyłane poprzez Microsoft Outlook.

Ataki na polskie instytucje prowadziła ponadto grupa powiązana z Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej (FSB). Z danych Esetu wynika, że Gamaredon atakuje prawie codziennie, a aktywność się zwiększa.

Ataki inicjowane są poprzez maile z załączonymi plikami HTML lub spreparowanymi dokumentami Word lub po podłączeniu pendrive’a. Przestępcy związani z FSB wykradają w ten sposób informacje nie tylko z e-maili, ale m.in. również z desktopowych wersji WhatsApp’a, Signala i Telegrama.