Tylko w drugiej połowie sierpnia tego roku ponad 40 proc. internautów, którzy otrzymali wiadomość od cyberprzestępców podszywających się pod Pocztę Polską, pobrało na swoje komputery złośliwe oprogramowanie – informują eksperci z zespołu CERT Polska, działającego w ramach instytutu badawczego NASK. Według danych zaprezentowanych przez specjalistów w trakcie tegorocznej konferencji SECURE, za atakiem najprawdopodobniej stoi międzynarodowa grupa przestępcza, która odpowiada za podobne działania przeprowadzone m.in. w Hiszpanii, Wielkiej Brytanii czy Australii.


Pierwsze informacje o nowej kampanii mailowej prowadzonej przez cyberprzestępców, w której wykorzystywany był logotyp i nazwa Poczty Polskiej, pojawiły się w mediach w maju tego roku. Wiadomości miały rzekomo informować o nieodebranej przesyłce, ale tak naprawdę zawierały link, który po przekierowaniach prowadził użytkowników, w zależności od wykorzystywanej przez nich przeglądarki, do pliku .exe bądź .apk. Następnie komunikat zawarty na stronie internetowej prosił
o pobranie pliku „PDF”, uruchomienie go na komputerze, a w dalszej kolejności zaniesienie wydrukowanej wersji dokumentu do punktu odbioru przesyłek. W rzeczywistości internauci pobierali na swoje urządzenia złośliwe oprogramowanie o nazwie TorrentLocker, które szyfrowało pliki na dysku użytkownika, a za ich odszyfrowanie żądało okupu.


Według informacji opublikowanych przez zespół CERT Polska za atakiem może stać międzynarodowa grupa przestępcza, którą roboczo nazwano „Grupą Pocztową”. Zdaniem specjalistów jest ona aktywna co najmniej od 2013 roku i pozostaje odpowiedzialna za przeprowadzenie w wielu państwach kampanii rozprzestrzeniających złośliwe oprogramowanie. Główną metodą infekcji wykorzystywaną przez grupę są e-maile phishingowe przypominające wiadomości o śledzeniu przesyłki z różnych urzędów pocztowych na całym świecie. Jak wskazują eksperci, o tym że ataki wydają się być dokonane przez tę samą grupę świadczy nie tylko sposób ich działania, lecz także wykorzystanie podobnej infrastruktury sieciowej, zbliżonych rodzin złośliwego oprogramowania i tych samych danych z bazy whois. Oczywiście nie można również wykluczyć wariantu, w którym grupa ta jest jedynie siecią ściśle ze sobą powiązanych partnerów biznesowych.


Jak zaznaczają eksperci, tylko w drugiej połowie sierpnia w interakcję z fałszywą stroną weszło ponad 15 tysięcy unikalnych adresów IP, z których większość pochodziła z Polski. Spośród nich, aż 6388 pobrało szkodliwe oprogramowanie. Oznacza to skuteczność na poziomie 41,4 proc., co stanowi niezwykle wysoką liczbę jak na atak tego typu, szczególnie biorąc pod uwagę fakt, że już w maju media szeroko informowały o występowaniu takiego zagrożenia w Internecie.


Działalność „Grupy Pocztowej”, która została omówiona podczas konferencji SECURE stanowi wymowny przykład, że Internet jest wykorzystywany przez zorganizowane podmioty do popełniania przestępstw godzących w szeroko rozumiany porządek publiczny. Ich specjalizacja oraz ponadgraniczny zakres działalności sprawia, że organom ścigania jest coraz trudniej dokonać ich identyfikacji i rozbicia – mówi Łukasz Siewierski z zespołu CERT Polska. –Fakt, że w trzy miesiące po ukazaniu się pierwszych doniesień medialnych na temat nowego ataku cyberprzestępców udało im się odnotować ponad 40-proc. skuteczność potwierdza, że należy nieustannie budować wśród internautów świadomość na temat aktualnych cyberzagrożeń– podsumowuje Łukasz Siewierski z zespołu CERT Polska.

Szczegółowe ustalenia dotyczące działalności „Grupy Pocztowej” dostępne są na stronie zespołu CERT Polska: http://www.cert.pl/news/10746.

źródło: NASK

Kan