Сотрудников крупных российских организаций начали атаковать письмами от имени правоохранительных органов. В сообщениях требуют пройти «доследственную проверку рабочего места» — якобы техническое исследование рабочего компьютера из-за инцидента информационной безопасности. Реальная цель — заставить человека заполнить документы, продолжить переписку и запустить вредоносную программу, которая шифрует данные для дальнейшего вымогательства. О схеме предупредили МВД и «Лаборатория Касперского».
Схема построена на социальной инженерии и давлении авторитетом. Пользователь получает письмо на корпоративную почту. Внутри — один или несколько PDF-документов, оформленных как официальное требование провести техническое исследование автоматизированного рабочего места. В тексте создают ощущение срочности и формальности: сотрудника убеждают, что проверка связана с расследованием некоего инцидента ИБ.
В письме может быть ещё один PDF — заявление о добровольном согласии на «техническое исследование» рабочего компьютера. Жертву просят указать личные данные и ответить, использовались ли на устройстве программы удалённого управления или средства обхода блокировок. Такой блок нужен атакующим не только для правдоподобия: ответы помогают понять, как устроена рабочая среда и какие инструменты уже стоят на компьютере.
Дальше сценарий переходит во вторую фазу. После заполнения документов сотруднику отправляют новое письмо с программой, которую якобы нужно запустить для проверки рабочего места. Именно этот файл и является основной целью всей операции. «Лаборатория Касперского» указывает, что вредоносная программа шифрует данные в системе, после чего атакующие могут требовать выкуп.
Фактически злоумышленники взяли на вооружение приёмы телефонных мошенников и переносят их в корпоративную почту. Только используется деловая приманка: «идёт проверка», «нужно подтвердить», «необходимо исследовать рабочий компьютер». Для сотрудника крупной организации такая формулировка выглядит правдоподобнее обычного фишинга с «премией» или «счётом на оплату».
Опасность схемы в том, что она бьёт по внутренней дисциплине компании. Сотрудник может побояться игнорировать письмо, которое выглядит как запрос от ведомства. Особенно если в документе есть печати, формальные обороты, ссылки на «проверку» и просьба действовать быстро. В результате человек сам запускает файл, который в обычной ситуации вызвал бы подозрение.
Шифровальщики остаются одним из самых болезненных типов атак для бизнеса. Они не просто крадут данные, а останавливают работу: блокируют файлы, серверные папки, рабочие станции, базы, документы и сетевые ресурсы. В корпоративной среде один заражённый компьютер может стать начальной точкой для движения по сети, если у пользователя есть доступ к общим папкам или административным инструментам.
«Лаборатория Касперского» раньше отмечала, что атаки шифровальщиков редко бывают массовыми в бытовом смысле: злоумышленники выбирают выгодные цели, где простой и потеря данных могут подтолкнуть организацию к переговорам. В отчёте о шифровальщиках компания указывала, что доля пользователей, столкнувшихся с такими атаками, в 2024 году выросла до 0,44%, а сами атаки часто направлены на организации, где эффект от шифрования выше.
Новая схема вписывается в эту логику. Цель — не случайный домашний компьютер, а сотрудник крупной компании. Рабочая машина может иметь доступ к внутренним документам, сетевым дискам, корпоративной почте, VPN, системе заявок, файловым хранилищам и инструментам удалённого администрирования. Один запуск «проверочной программы» оборачивается риском для всей организации.
Для ИБ-команд здесь важны несколько признаков. Письмо приходит от имени силовых структур или близких к ним формулировок. Внутри есть PDF с требованием проверить АРМ — автоматизированное рабочее место. Сотрудника просят заполнить заявление, раскрыть личные данные и сведения о программах удалённого доступа. Следующим письмом присылают исполняемый файл или архив с «утилитой проверки». Такой сценарий нужно считать инцидентом до доказательства обратного.
Для сотрудников правило ещё проще: правоохранительные органы не проводят «техническое исследование» рабочего компьютера через запуск неизвестной программы из письма. Любой такой запрос нужно передавать в службу безопасности, ИТ-отдел или руководителю по внутреннему регламенту. Нельзя заполнять документы, раскрывать данные о рабочем компьютере и запускать вложения без проверки.
Организациям стоит заранее разослать короткое предупреждение сотрудникам. Лучше не длинную инструкцию на 20 страниц, а понятный текст: письма о «доследственной проверке рабочего места» не открывать, вложения не запускать, ответы не отправлять, файл переслать в ИБ-службу через утверждённый канал. Такой формат снижает шанс, что человек начнёт переписку с атакующими из страха «сорвать проверку».
Технические меры тоже нужны. На почтовом шлюзе стоит отслеживать темы и вложения, связанные с «доследственной проверкой», «техническим исследованием АРМ», «проверкой рабочего места» и похожими формулировками. На рабочих станциях — ограничить запуск исполняемых файлов из пользовательских папок, архивов и временных каталогов, контролировать PowerShell, неизвестные MSI/EXE, макросы и доступ к сетевым шарам. Резервные копии должны быть изолированы от рабочих учётных записей, иначе шифровальщик может добраться и до них.
Отдельная зона риска — программы удалённого управления. Раз атакующие спрашивают о них в анкете, им важно понять, можно ли использовать уже установленный инструмент как канал доступа. AnyDesk, TeamViewer, RDP, Ammyy Admin, RustDesk и корпоративные аналоги должны быть под контролем: с журналами, ограничениями, MFA и списком разрешённых операторов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
