Специалисты по кибербезопасности зафиксировали очередную волну атак вымогателя JanaWare, нацеленных исключительно на турецких пользователей. Кампания, описанная в том числе в мировых СМИ, использует классическую фишинговую схему с доставкой через Google Drive и проверкой региональной принадлежности жертвы. Как отмечает эксперт компании «Газинформсервис», такой локальный подход позволяет злоумышленникам действовать дольше, оставаясь вне радаров глобального ИБ-сообщества.

Жертва получает письмо на турецком языке с фишинговой ссылкой, ведущей в легальное облачное хранилище. Оттуда скачивается заражённый Java-архив, который либо шифрует данные, либо эксфильтрирует их на внешний сервер. Вредонос проверяет язык системы, IP и региональные настройки — если жертва находится не в Турции, атака прекращается. Требование выкупа также написано по-турецки. Глобальные фишинговые рассылки быстро становятся известными мировым SOC и антивирусным вендорам. Локальные же, как JanaWare, могут оставаться незамеченными неделями и месяцами, поражая узкую, но реальную аудиторию. После обнаружения сигнатуры были обновлены, однако ущерб уже нанесён.

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин отметил: «Старый добрый фишинг никогда не выйдет из моды, судя по всему. Вымогатель JanaWare работает по проверенной классической схеме: человек получает письмо с фишинговой ссылкой, которая ведет на хранилище в Google Drive, оттуда человек скачивает зараженный файл, который либо шифрует данные, либо передает их на сторонний сервер, а дальше — требование выкупа. Схема, проверенная годами, работает безотказно. В данном случае интересен такой момент, что вся схема была заточена именно на турецких пользователей. Само письмо было написано на турецком, а вредонос проверял специфические региональные критерии, чтобы убедиться что жертва находится в Турции. Конечно, глобальные фишинговые кампании приносят больше пользы, но с другой стороны, маленькие локальные кампании не так быстро становятся известны глобальному сообществу специалистов по кибербезопасности по всему миру и поэтому могут осуществляться куда дольше».

Эксперт добавил, что после обнаружения локальные, а затем и глобальные SOC по всему миру обновили сигнатуры и стали успешно детектировать эту атаку. Однако если бы компания, которая стала жертвой мошенников, уже была бы подключена к любому локальному SOC, например к GSOC, то само получение нестандартных писем с ссылками привлекло бы внимание специалистов центра и печальных последствий можно было бы избежать с очень большой вероятностью.