Duty-Free.cc
Новости

Цель хакеров изменилась: теперь под ударом не данные, а грузовые перевозки на $34 млрд.

Duty News 0 06.11.2025

Теперь «цепочка поставок» превращается в «цепочку компрометаций»: преступники оформляют ваши же грузы от вашего имени.

Киберпреступные группы начали использовать цифровые каналы для кражи вполне материальных товаров с грузовиков и складов. По информации специалистов из Proofpoint, с начала 2025 года активно действует группировка, ориентирующаяся на логистические компании и перевозчиков в Северной Америке. Получив доступ к внутренним системам и аккаунтам брокеров, злоумышленники участвуют в тендерах на перевозку как будто легальная транспортная фирма. После «выигрыша» контракта они просто забирают груз и затем перепродают его — как на местных площадках, так и за рубеж.

Эксперты подчёркивают, что это не единичные эпизоды, а развернутая серия атак, где киберинструменты помогают замаскировать традиционное воровство. Всё начинается с социальной инженерии: преступники взламывают или подменяют учётные записи на логистических порталах, рассылают письма с вредоносными вложениями или ссылками, имитируют деловую переписку и перехватывают реальные обсуждения заказов.

Если получатель запускает файл, на его компьютер устанавливаются инструменты удалённого администрирования (RMM) — например, ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able или LogMeIn Resolve. Эти программы широко применяются в легальных целях для технической поддержки, поэтому их присутствие редко вызывает подозрения. В ряде случаев PDQ Connect автоматически загружает дополнительные компоненты — что позволяет злоумышленникам быстро закрепиться в системе. После заражения они собирают пароли, изучают внутреннюю сеть и углубляют доступ.

RMM-средства становятся всё более популярными у преступников, поскольку выглядят «законными»: подписанные установщики не блокируются антивирусами, а сетевые соединения не отличаются от обычных. Получив контроль, злоумышленники могут отменять рейсы, перехватывать уведомления диспетчеров и оформлять перевозки на подставные компании. Proofpoint приводит пример, когда преступники добавили своё устройство в систему связи перевозчика, аннулировали запланированные рейсы и организовали собственные.

Исследователи отмечают, что активность группировки прослеживается как минимум с июня 2025 года, а некоторые признаки указывают на возможную связь с предыдущими мошенническими схемами, направленными на похищение электроники и медицинских товаров. Разница лишь в инструментах: раньше использовали трояны вроде NetSupport или DanaBot, теперь — легальные RMM-приложения.

Масштаб угрозы значителен: жертвами становятся как небольшие региональные перевозчики, так и крупные логистические сети. Proofpoint фиксировала десятки фишинговых кампаний только за август и сентябрь, от индивидуальных рассылок до массовых атак. Для повышения доверия мошенники создают сайты, практически идентичные официальным ресурсам транспортных брокеров.

По оценкам Национального бюро страховых преступлений США, ежегодный ущерб от краж грузов составляет около 34 млрд долларов. Причём динамика растёт: в 2024 году число подобных случаев увеличилось на 27 %, а в 2025-м прогнозируется дальнейший рост. Особенно уязвимы отрасли, активно переходящие на электронные системы организации перевозок: автоматизация облегчает работу логистам, но одновременно расширяет поле для злоупотреблений.

Подобные схемы действуют и за пределами США — крупные центры активности наблюдаются в Бразилии, Мексике, Индии, Германии, Чили и Южной Африке. Наиболее привлекательные для хищения группы товаров — электроника, напитки и продукты.

Proofpoint отмечает, что мы наблюдаем постепенное слияние цифровой и традиционной преступности: теперь, чтобы перехватить груз, необязательно физически вмешиваться в процесс — достаточно взять под контроль электронные системы, которые управляют перевозкой.

Для защиты эксперты рекомендуют:

  • ограничить возможность установки RMM-ПО без разрешения IT-специалистов;
  • внимательнее отслеживать исходящий и входящий сетевой трафик;
  • блокировать запуск .exe и .msi, полученных по электронной почте;
  • обучать сотрудников распознавать попытки фишинга;
  • использовать сигнатуры Emerging Threats для обнаружения подозрительных соединений.

Тренд, по прогнозам, будет только усиливаться: киберпреступники всё чаще применяют легитимные инструменты и маскируют свои действия под обычные бизнес-процессы. Поэтому защита должна охватывать не только данные, но и физическую логистику товаров.