Как видно из анализа приведенного инцидента, компиляция программы была осуществлена 16.10.2015 в 06:08:13, после чего злоумышленником проведена проверка в 07:57:04. На момент первичной проверки данная программа антивирусным программным обеспечением как вредоносная не определялась. Фишинг-атака была осуществлена также 16.10.2015 в 11:35:07, и в этот же день было сформировано мошенническое платежное поручение. Организация обнаружила инцидент 20.10.2015, потому как 16.10 — это была пятница, а в понедельник 19.10.2015 обратили внимание только на неисправность компьютера.
На момент осознания произошедшего инцидента и обращения в правоохранительные органы похищенные денежные средства уже были обналичены в банкоматах на просторах различных регионов страны.
Новая версия вредоносной программы еще не внесена в антивирусные базы данных, а серверы, посредством которых осуществляется рассылка фишинговых сообщений, еще не внесены в черные списки.
Необходимо обратить внимание на то, что используемые при фишинг-атаке ресурсы и вредоносные программы некоторое время не детектируются большинством защитных систем. И на передовой остается только пользователь, от компетентности и внимательности которого зависит успешность проводимой атаки.
Запустив вредоносную программу — бэкдор, пользователь продолжает свои обычные операции, в то время как в скрытом режиме бэкдор «отстукивается хозяину», который уже осуществляет подключение, проводит изучение содержимого компьютера и сетевого окружения, на основе которого принимает решение об осуществлении дальнейшей атаки.
Имея удаленный доступ, открытый посредством фишинга и бэкдора, злоумышленник может осуществлять любые операции на компьютере: копировать, загружать, устанавливать необходимые программы и файлы, удалять записи журналов слежения, отключать антивирусные программы.
От рассылки новой вредоносной программы до ее детектирования (распознавания) может пройти до нескольких дней, в течение которых злоумышленники будут получать управление финансовыми операциями на компьютерах коммерческих организаций.
После первой волны вредоносная программа обычно спускается ниже (продается), и через некоторое время следуют более мелкие волны кибератак, жертвами которых становятся лишь те организации и пользователи, которые пренебрегают антивирусным программным обеспечением. Передача вредоносной программы в пользование другой преступной группе позволяет организаторам путать след.
Как видно из приведенных примеров, несложное и вовремя проведенное техническое исследование компьютерного оборудования может существенно облегчить дальнейшее расследование уголовного дела.