Support81
Модератор
Цепочка поставок? Теперь это цепочка взлома. Хакеры просто заказывают ваши грузы у вас же.
Киберпреступники нашли способ использовать цифровые инструменты, чтобы воровать реальные грузы с грузовиков и складов. Специалисты Proofpoint сообщили, что с начала 2025 года активно действует преступная группа, нацеленная на транспортные и логистические компании в Северной Америке. Получив доступ к системам перевозчиков, злоумышленники участвуют в реальных тендерах на перевозку товаров, выигрывают заказы и затем физически похищают грузы, перепродавая их онлайн или отправляя за рубеж.
По данным Proofpoint, речь идёт не об изолированных атаках, а о целой серии кампаний, в которых цифровые методы служат прикрытием для традиционного криминального бизнеса. Всё начинается с социальной инженерии: злоумышленники взламывают аккаунты брокеров на специализированных площадках, где публикуются заказы на перевозку, размещают поддельные объявления и рассылают письма с вредоносными ссылками перевозчикам, откликнувшимся на фальшивый заказ. Другой приём — перехват реальной переписки: используя украденные учётные записи, они вставляют в существующие диалоги вредоносные ссылки. Иногда применяются и массовые рассылки с фишинговыми сообщениями, направленные на крупные транспортные корпорации и брокеров.
Когда получатель письма загружает файл, на его компьютер устанавливается программное обеспечение удалённого администрирования (RMM) — например, ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able или LogMeIn Resolve. Эти легитимные инструменты применяются в обычных компаниях для обслуживания сетей, поэтому пользователи часто не подозревают об опасности. В некоторых случаях PDQ Connect автоматически загружает и запускает другие программы, такие как ScreenConnect или SimpleHelp. После установки злоумышленники проводят разведку сети, собирают учётные данные с помощью утилит вроде WebBrowserPassView и углубляют доступ к инфраструктуре жертвы.
RMM-инструменты становятся всё более популярными в киберпреступной среде. В отличие от традиционных вредоносов, они позволяют действовать незаметнее: подписанные инсталляторы не вызывают подозрений у антивирусов, а сетевой трафик выглядит легитимно. Используя эти средства, злоумышленники могут управлять заражёнными системами, стирать заказы, перенаправлять уведомления диспетчеров и даже бронировать перевозки от имени настоящих компаний. Proofpoint приводит пример, когда через подобную схему преступники добавили своё устройство в систему связи перевозчика, аннулировали реальные рейсы и организовали новые — уже для собственных целей.
По наблюдениям исследователей, активность группы прослеживается минимум с июня 2025 года, а её инфраструктура и методы указывают на возможную связь с более ранними кампаниями, идущими с января. В прошлом Proofpoint уже фиксировала аналогичные случаи, когда мошенники под видом логистических компаний похищали медицинское оборудование и электронику. Нынешние атаки, вероятно, имеют ту же основу, но теперь применяются современные средства удалённого управления, а не классические трояны вроде NetSupport или DanaBot.
Судя по масштабам, злоумышленники действуют оппортунистически: жертвами становятся и небольшие семейные компании, и крупные перевозчики. Proofpoint зафиксировала около двух десятков кампаний только за август и сентябрь, с числом писем от нескольких штук до тысячи и более. Для обмана жертв преступники создают сайты, маскирующиеся под известные бренды или транспортные порталы, чтобы повысить доверие. Их цель — получить контроль над учётными записями компаний, чтобы затем участвовать в тендерах и оформлять перевозки, которые можно перехватить.
Масштаб потерь от подобных схем огромен. Национальное бюро страховых преступлений США оценивает ежегодные убытки от краж грузов в 34 миллиарда долларов. При этом 2024 год принёс рост таких преступлений на 27 %, а в 2025-м показатель, по прогнозам, вырастет ещё на 22 %. Особенно уязвимыми становятся отрасли, прошедшие цифровую трансформацию: автоматизация и электронные системы бронирования упрощают жизнь логистам, но открывают новые лазейки для преступников. Теперь, чтобы украсть груз, не нужно проникать на склад — достаточно перехватить электронный заказ и управлять маршрутом удалённо.
Подобные схемы наблюдаются не только в США. По данным Munich RE, крупные очаги краж грузов есть в Бразилии, Мексике, Индии, Германии, Чили и Южной Африке. Наиболее часто похищают продукты питания, напитки и электронику. Цифровые мошенники объединяются с традиционными преступными сетями, которые обеспечивают транспорт, хранение и перепродажу украденных товаров.
Proofpoint подчёркивает, что эта волна атак демонстрирует слияние киберпреступности с классическим криминалом. Если раньше угон грузовика требовал физического вмешательства, теперь достаточно заражённого ноутбука в офисе перевозчика. Преступники становятся своеобразными «киберкурьерами», действующими под видом легальных участников рынка.
Исследователи отмечают, что борьба с этим явлением требует комплексного подхода. Организациям стоит ограничить установку любых RMM-средств без разрешения ИТ-администраторов, контролировать сетевой трафик и использовать правила Emerging Threats для обнаружения соединений с подозрительными серверами. Следует запретить запуск файлов формата .exe и .msi, полученных по электронной почте от внешних адресатов, и проводить обучение персонала распознаванию фишинговых писем.
Proofpoint ожидает, что тенденция продолжит усиливаться: число электронных атак, связанных с реальными кражами грузов, растёт, а их география расширяется. Поскольку киберпреступники всё чаще применяют легитимные инструменты администрирования в своих схемах, компании должны уделять больше внимания не только защите данных, но и физической безопасности поставок.
Подробнее: https://www.securitylab.ru/news/565680.php
Киберпреступники нашли способ использовать цифровые инструменты, чтобы воровать реальные грузы с грузовиков и складов. Специалисты Proofpoint сообщили, что с начала 2025 года активно действует преступная группа, нацеленная на транспортные и логистические компании в Северной Америке. Получив доступ к системам перевозчиков, злоумышленники участвуют в реальных тендерах на перевозку товаров, выигрывают заказы и затем физически похищают грузы, перепродавая их онлайн или отправляя за рубеж.
По данным Proofpoint, речь идёт не об изолированных атаках, а о целой серии кампаний, в которых цифровые методы служат прикрытием для традиционного криминального бизнеса. Всё начинается с социальной инженерии: злоумышленники взламывают аккаунты брокеров на специализированных площадках, где публикуются заказы на перевозку, размещают поддельные объявления и рассылают письма с вредоносными ссылками перевозчикам, откликнувшимся на фальшивый заказ. Другой приём — перехват реальной переписки: используя украденные учётные записи, они вставляют в существующие диалоги вредоносные ссылки. Иногда применяются и массовые рассылки с фишинговыми сообщениями, направленные на крупные транспортные корпорации и брокеров.
Когда получатель письма загружает файл, на его компьютер устанавливается программное обеспечение удалённого администрирования (RMM) — например, ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able или LogMeIn Resolve. Эти легитимные инструменты применяются в обычных компаниях для обслуживания сетей, поэтому пользователи часто не подозревают об опасности. В некоторых случаях PDQ Connect автоматически загружает и запускает другие программы, такие как ScreenConnect или SimpleHelp. После установки злоумышленники проводят разведку сети, собирают учётные данные с помощью утилит вроде WebBrowserPassView и углубляют доступ к инфраструктуре жертвы.
RMM-инструменты становятся всё более популярными в киберпреступной среде. В отличие от традиционных вредоносов, они позволяют действовать незаметнее: подписанные инсталляторы не вызывают подозрений у антивирусов, а сетевой трафик выглядит легитимно. Используя эти средства, злоумышленники могут управлять заражёнными системами, стирать заказы, перенаправлять уведомления диспетчеров и даже бронировать перевозки от имени настоящих компаний. Proofpoint приводит пример, когда через подобную схему преступники добавили своё устройство в систему связи перевозчика, аннулировали реальные рейсы и организовали новые — уже для собственных целей.
По наблюдениям исследователей, активность группы прослеживается минимум с июня 2025 года, а её инфраструктура и методы указывают на возможную связь с более ранними кампаниями, идущими с января. В прошлом Proofpoint уже фиксировала аналогичные случаи, когда мошенники под видом логистических компаний похищали медицинское оборудование и электронику. Нынешние атаки, вероятно, имеют ту же основу, но теперь применяются современные средства удалённого управления, а не классические трояны вроде NetSupport или DanaBot.
Судя по масштабам, злоумышленники действуют оппортунистически: жертвами становятся и небольшие семейные компании, и крупные перевозчики. Proofpoint зафиксировала около двух десятков кампаний только за август и сентябрь, с числом писем от нескольких штук до тысячи и более. Для обмана жертв преступники создают сайты, маскирующиеся под известные бренды или транспортные порталы, чтобы повысить доверие. Их цель — получить контроль над учётными записями компаний, чтобы затем участвовать в тендерах и оформлять перевозки, которые можно перехватить.
Масштаб потерь от подобных схем огромен. Национальное бюро страховых преступлений США оценивает ежегодные убытки от краж грузов в 34 миллиарда долларов. При этом 2024 год принёс рост таких преступлений на 27 %, а в 2025-м показатель, по прогнозам, вырастет ещё на 22 %. Особенно уязвимыми становятся отрасли, прошедшие цифровую трансформацию: автоматизация и электронные системы бронирования упрощают жизнь логистам, но открывают новые лазейки для преступников. Теперь, чтобы украсть груз, не нужно проникать на склад — достаточно перехватить электронный заказ и управлять маршрутом удалённо.
Подобные схемы наблюдаются не только в США. По данным Munich RE, крупные очаги краж грузов есть в Бразилии, Мексике, Индии, Германии, Чили и Южной Африке. Наиболее часто похищают продукты питания, напитки и электронику. Цифровые мошенники объединяются с традиционными преступными сетями, которые обеспечивают транспорт, хранение и перепродажу украденных товаров.
Proofpoint подчёркивает, что эта волна атак демонстрирует слияние киберпреступности с классическим криминалом. Если раньше угон грузовика требовал физического вмешательства, теперь достаточно заражённого ноутбука в офисе перевозчика. Преступники становятся своеобразными «киберкурьерами», действующими под видом легальных участников рынка.
Исследователи отмечают, что борьба с этим явлением требует комплексного подхода. Организациям стоит ограничить установку любых RMM-средств без разрешения ИТ-администраторов, контролировать сетевой трафик и использовать правила Emerging Threats для обнаружения соединений с подозрительными серверами. Следует запретить запуск файлов формата .exe и .msi, полученных по электронной почте от внешних адресатов, и проводить обучение персонала распознаванию фишинговых писем.
Proofpoint ожидает, что тенденция продолжит усиливаться: число электронных атак, связанных с реальными кражами грузов, растёт, а их география расширяется. Поскольку киберпреступники всё чаще применяют легитимные инструменты администрирования в своих схемах, компании должны уделять больше внимания не только защите данных, но и физической безопасности поставок.
Подробнее: https://www.securitylab.ru/news/565680.php
