Кіберзлочинні угруповання масштабують атаки на транспортні та логістичні компанії, використовуючи викрадені облікові дані з load boards і легальні RMM-інструменти для непомітного доступу до робочих систем. За оцінками індустрії, щорічні втрати від крадіжок вантажів перевищують $30 млрд, а вплив таких операцій уже підриває стабільність ланцюгів постачання.
Компрометація load boards та соціальна інженерія як старт атаки
Початковий доступ зловмисники отримують через захоплення акаунтів на брокерських дошках вантажів (load boards), де розміщуються заявки на перевезення. Оперуючи легітимними обліковими даними, вони створюють фейкові оголошення, ініціюють контакт із перевізниками та надсилають листи з шкідливими посиланнями, замаскованими під робочі ресурси або вкладення.
Легальні RMM як інструмент прихованої присутності
Перехід за лінком запускає інсталяцію легітимних засобів віддаленого адміністрування (RMM), зокрема Fleetdeck, LogMeIn Resolve, N-able, PDQ Connect, ScreenConnect, SimpleHelp. Такі інструменти звично використовуються IT-підтримкою, тому їх активність часто сприймається як штатна, що підвищує живучість атаки порівняно з класичними шкідливими програмами.
Тактика ескалації: від фішингу до вбудовування в діючі листування
Кампанії носять опортуністичний характер: атакують будь-якого перевізника, який відгукнувся на підроблений запит. Окрім розсилок, кіберзлочинці впроваджують посилання в чинні ділові треди через скомпрометовані поштові скриньки, що суттєво підвищує рівень довіри. За останні місяці зафіксовано майже два десятки подібних операцій.
Збір облікових даних і розширення доступу
Після закріплення в мережі зловмисники проводять розвідку, застосовують інструменти вилучення паролів, зокрема WebBrowserPassView, і компрометують додаткові акаунти. Це відкриває шлях до критичних вузлів — від систем планування рейсів до диспетчерських панелей і портальних рішень підрядників.
Від IT-компрометації до фізичного викрадення вантажів
Контролюючи IT-інфраструктуру перевізника, нападники бронюють перевезення від імені жертви, змінюють маршрути та локації розвантаження у планувальних/диспетчерських системах і перенаправляють цінні вантажі спільникам. Надалі крадені товари збуваються онлайн або експортуються в інші країни.
Географія інцидентів і роль організованої злочинності
Proofpoint відзначає, що найбільше епізодів фіксується у Бразилії, Чилі, Німеччині, Індії, Мексиці, ПАР та США. Характер інфраструктури та знання галузевої специфіки свідчать про участь організованих кримінальних груп, які комбінують кіберінструменти з логістичним фродом.
Часова шкала та споріднена активність загроз
Поточна хвиля фіксується з червня 2025 року, тоді як інфраструктура загроз працює щонайменше з січня. Окремий, імовірно пов’язаний кластер діяв із 2024 по березень 2025 року та націлювався на наземні перевезення, використовуючи інфостілери DanaBot, Lumma Stealer, NetSupport, StealC. Незалежно від пейлоада мета одна — віддалений доступ і крадіжка даних.
Практичні заходи кіберзахисту для логістики та автоперевізників
Посилена автентифікація: обов’язковий MFA для load boards, пошти та диспетчерських систем; регулярна ротація та унікальність паролів; контроль геолокацій і неможливість входу зі скомпрометованих пристроїв.
Політики RMM: білi списки дозволених RMM, прив’язка до конкретних адміністраторів, тимчасові та мережеві обмеження, повне журналювання з алертами в SOC; блокування невідомих RMM на рівні EDR/XDR і проксі.
Поштова безпека: впровадження DMARC/DKIM/SPF, заборона автофорвардингу, виявлення вставок посилань у перехоплені треди, розпізнавання доменних омонімів, регулярні тренінги з фішингу.
Операційні контролі: незалежна верифікація змін маршрутів і місць розвантаження по другому каналу (дзвінок/месенджер), аудит прав у планувальних системах, сегментація мережі та принцип найменших привілеїв.
Кіберкрадіжки вантажів демонструють нову норму: легальні RMM та інфостілери дозволяють зловмисникам тихо закріплюватися в середовищі й конвертувати цифровий доступ у фізичні втрати. Компаніям варто прискорити впровадження MFA, жорстких RMM-політик, поштового моніторингу та процедур двоканальної валідації логістичних змін. Такі кроки різко зменшують ризик компрометації load boards і допомагають вчасно виявляти спроби перенаправлення вантажів.
