Новая волна кибератак добралась до Кармиэля

Входящее электронное письмо. Отправитель — респектабельная адвокатская фирма из Тель-Авива, в теме — грозное: «Нарушение авторского права: досудебная претензия».

Израильтяне получают десятки таких писем за последний месяц. Некоторые, испугавшись упоминания Бернской конвенции и возможного иска, скачивают «документы», открывают вложенный .exe файл — и невидимый злоумышленник уже внутри их компьютера, выкачивает пароли и шифрует диски.

Эта волна мошенничества охватила Израиль весной 2025-го и добралась до нашего города. Разберёмся, как работает схема, почему даже опытные пользователи на нее попадаются и, главное, как не стать следующей жертвой.

Что случилось: новая фишинговая кампания

В конце марта исследователи Check Point  обнаружили первую серию писем, замаскированных под претензии правовладельцев. В апреле–мае Национальное управление кибербезопасности и издание Telecom News подтвердили: идёт целенаправленная рассылка по израильским адресам, особенно активная в Галилее и на побережье.

Схема одинакова:

1. Письмо от «юриста» или «Минюста». Официальный стиль, ссылки на Закон об авторском праве 2007 г. и угрозы судом.
   
2. Вложение с «доказательствами». Архив или прямая ссылка на файл размером 5–7 МБ. Внутри — исполняемый файл странного имени и две библиотеки .dll (часто vcruntime140.dll и version.dll объёмом более 100 МБ, чтобы не вызывать подозрений антивируса).
   
3. Запуск = заражение. .exe подгружает скрытый модуль DarkGate/Rhadamanthys, давая злоумышленнику удалённый доступ, после чего скачивается шифровальщик или инфостилер.
   
4. Прессинг временем. В письме установлен «крайний срок» удаления контента — приём, заставляющий получателя действовать без проверки.
   

По данным киберполиции, за май уже зафиксированы десятки инцидентов, включая две компании в Хайфе и частные компьютеры кармиэльских предпринимателей. В 12% случаев жертвы не только открывали вложение, но и пробовали «исправить» проблему, что позволяло преступнику закрепиться глубже.

Дальше — конкретные примеры, советы экспертов и чек-лист, как защитить свои устройства и данные.

«Юридическое» письмо под микроскопом

На первый взгляд письмо выглядит абсолютно легально. Оно приходит якобы от уважаемых адвокатских фирм. В письме содержится прямое обвинение: ваша страница в социальных сетях или сайт якобы нарушили авторские права. Как доказательство прикладывается «досье» или «документ», который на деле является вредоносным файлом.

Типичная структура такого письма:

• Грозный тон — упоминание Закона об авторском праве, Бернской конвенции, ответственности в десятки тысяч шекелей.
• Обещание уладить мирно — якобы предлагают связаться для «регулирования» вопроса.
• Вложения — вместо документов или PDF внутри скрывается:
  
  • файл .exe (чаще всего с бессмысленным названием, например, ……-……-……-….exe, чтобы скрыть суть);
    
  • библиотеки vcruntime140.dll и version.dll — внешне похожие на системные, но с подозрительным размером (например, 106 МБ вместо стандартных 20–30 КБ).
    
• Контакт для обратной связи — настоящий адрес известной фирмы, чтобы повысить доверие.
  

Злоумышленники делают ставку на то, что получатель не станет разбираться и поспешит «проверить документы». На деле — достаточно одного клика по .exe, чтобы вредонос получил полный доступ к вашему устройству.

Хронология и география атак

Первая крупная волна рассылок была зафиксирована в феврале 2025 года. Тогда Check Point Research опубликовал доклад о десятках тысяч писем на английском, арабском и китайском языках. География — в первую очередь США и Европа.

Но уже в апреле началась активная волна в Израиле:

• В начале апреля Национальное управление кибербезопасности получило первые жалобы от компаний из центра и севера страны.
  
• 30 марта издание «Исраэль ха-Йом» опубликовало исследование о поддельных онлайн-сервисах конвертации файлов, которые распространяли такие же вредоносные .exe.
  
• 8 мая управление кибербезопасности официально предупредило о массовой фишинговой кампании, в которой используются поддельные юридические письма. Основные цели — малый бизнес и частные предприниматели, в том числе в Кармиэле, Хайфе и Нагарии.
  

Как показала проверка Telecom News, под угрозу попали и частные пользователи:

• кто ведёт страницы в соцсетях;
• кто работает с клиентами через мессенджеры и почту;
• кто загружает документы на онлайн-сервисы без проверки их безопасности.
  

По оценкам специалистов, десятки жителей Кармиэля могли получить такие письма в последние недели. Некоторым удалось вовремя понять угрозу, но были и те, кто открыл файлы.

Реальные истории 

В редакцию нашей газеты уже обратились несколько жителей Кармиэля, столкнувшихся с этой схемой. Вот две из них.

«Я думал, это мои клиенты»

Игорь, владелец небольшой бухгалтерской фирмы в Хайфе, получил письмо с формулировкой «Ваш сайт нарушил авторские права. Ознакомьтесь с материалами в приложении». Письмо выглядело убедительно: был указан телефон известной адвокатской конторы, ссылки на законы Израиля и международные соглашения.

— «Я даже не сомневался. У нас действительно недавно публиковались материалы клиентов, и я решил проверить, что там за претензии», — рассказывает Игорь.

Вложение оказалось обычным .exe-файлом. Запуск прошел без видимых последствий. Однако через несколько часов все файлы на рабочем компьютере были зашифрованы, а на экране появилось требование выкупа в биткойнах.

Компания потеряла доступ к базе клиентов и бухгалтерским документам на три дня.
Удалось восстановить часть данных из старой резервной копии, но потери были существенными.

«Нарушение авторских прав»

Илона, частный предприниматель из Кармиэля, активно продаёт свои товары в сети Facebook. Сегодня (12 мая) она получила похожее письмо, в котором говорилось о нарушении авторских прав за использование в своём видеоролике некой музыкальной композиции.

К счастью, Илона запускать его не стала, а сразу показал знакомому IT-специалисту.

— Оказалось, что это классический троян. Я просто удалила файл и провела проверку системы. Повезло, что не открыла, — рассказывает она.

Эта история показывает, как важно не действовать в панике и проверять любые подозрительные письма с помощью специалистов.

Мнение экспертов: почему мы попадаемся на эту схему

Эксперты кибер-управления объясняют, что главная опасность — социальная инженерия. Злоумышленники не взламывают компьютеры напрямую — они заставляют нас сделать это своими руками.

— Люди привыкли доверять юристам и государственным письмам. Особенно если в письме есть конкретные законы, суммы штрафов и угроза суда. Это заставляет действовать быстро и не разбираться в деталях, — поясняет представитель кибер-управления.

Аналитики Check Point отмечают, что в последние месяцы схема стала более профессиональной:

• Мошенники используют настоящие логотипы компаний и адвокатских контор.
• В письмах указывают реальные законы Израиля.
• Вложенные файлы замаскированы под системные библиотеки Windows, что позволяет им обходить простейшие антивирусные проверки.
  

Добавим сюда создание чувства срочности — якобы у вас есть всего один день, чтобы решить проблему — и мы имеем готовый рецепт успешного обмана.

Как распознать подделку

Эксперты подчеркивают: 

— Настоящие юристы не рассылают исполняемые файлы (.exe, .dll). Они присылают документы в формате PDF или Word, подписанные электронно или отправленные официальной почтой.

Вот признаки поддельного письма:

1. Грозный и категоричный тон — угроза суда, штрафов, уголовной ответственности.
2. Неправдоподобный адрес отправителя — похожий на настоящий, но с ошибкой или странным доменом.
3. Странные вложения — .exe, .dll или архив с такими файлами.
4. Сжатые сроки для реакции — например, «удалите контент до конца дня, иначе…».
   

Проверяйте письма так:

• Смотрите на адрес отправителя, а не только на имя.
• Никогда не открывайте вложения .exe или .dll.
• Если сомневаетесь — поиск по Google и обращение в реальную компанию по официальным контактам с их сайта.
  

Что делать, если файл уже был открыт

Вот пошаговая инструкция от специалистов:

1. Немедленно отключите устройство от интернета.
2. Запустите полную проверку антивирусом. Если возможно — используйте офлайн-сканирование, доступное в Windows Defender.
3. Проверьте автозагрузку программ на наличие неизвестных элементов.
4. Смените пароли ко всем аккаунтам с другого устройства, особенно к почте и банковским сервисам.
5. Если есть признаки заражения (появление лишних окон, блокировка файлов, требования выкупа) — переустановите систему или обратитесь к специалисту.
6. Сообщите об инциденте в горячую линию Национального управления кибербезопасности Израиля по телефону 119 или на сайте cyber.gov.il.
   

Полиция Израиля также ведёт расследования по случаям массовых рассылок, однако, как подчеркивают в МВД, главная защита — это бдительность самих пользователей.

В случае подозрительных писем жители Кармиэля могут обращаться:

• в полицию по телефону 100 или в ближайшее отделение;
• в муниципальную дежурную службу (мокед) 106;
• на официальный сайт кибер-управления cyber.gov.il.
  

Выводы

Кибермошенники используют не взломы, а человеческую доверчивость и страх перед судом.  Юридический тон, угрозы и «официальные» вложения — всё это инструменты, чтобы обмануть.

Помните главное:

• Не открывайте подозрительные файлы.
• Проверяйте отправителей.
• Консультируйтесь со специалистами.
  

Безопасность — это наша общая ответственность. Поделитесь этой информацией с коллегами, друзьями и родными. Только вместе мы сможем защитить Кармиэль и его жителей от новых цифровых угроз.