Эксперты центра исследования киберугроз Solar 4RAYS (ГК «Солар») зафиксировали но-вый тренд в кибератаках — злоумышленники находят способы отключать антивирусные программы, чтобы скрыть свое присутствие в системах российских компаний. В ходе од-ного из расследований специалисты обнаружили новую хакерскую группировку, исполь-зующую методы, позволяющие обходить защиту любых вендоров, включая популярные решения для кибербезопасности

Один из таких инцидентов произошел в промышленной организации. Вредоносный файл был обнаружен экспертами центра противодействия кибератакам Solar JSOC. Расследование показало, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО DameWare Mini Remote Control, используемом для удаленного администрирования.

Ключевые этапы атаки:

  1. Использование уязвимости в ПО, которое оставалось доступным из внешней сети с периода пандемии.
  2. Размещение вредоносного файла в директории администрирования антивирусного решения.
  3. Отключение антивируса (в данном случае «Лаборатории Касперского»).
  4. Отключение технологии MiniFilter, которая используется для мониторинга активности в файловой системе Windows.
  5. Замена callback-функций антивируса фиктивными значениями, что лишает систему защиты возможности обнаруживать угрозы.

После деактивации защиты хакеры могли загружать любые вредоносные программы, не опасаясь их обнаружения.

Получив информацию от Solar 4RAYS, «Лаборатория Касперского» оперативно доработала механизмы самозащиты своих продуктов и выпустила обновления. В обновленных версиях были усилены правила обнаружения угроз, а также добавлены новые алгоритмы защиты от загрузки подозрительных драйверов.

Специалисты Solar 4RAYS отмечают, что атаки, включающие отключение средств защиты, становятся все более частым явлением. Если раньше такие техники использовались преимущественно в целевых шпионских кампаниях, то теперь они активно применяются киберпреступниками для разрушительных атак на критическую инфраструктуру.

Эксперты Solar 4RAYS рекомендуют предприятиям: Регулярно проверять работоспособность защитных решений – отключенный антивирус может быть признаком взлома. Контролировать передачу телеметрии – важно отслеживать, передают ли системы данные о событиях безопасности. Оценивать уровень компрометации инфраструктуры – это поможет выявить атаки до наступления серьезных последствий. Использовать эшелонированную защиту – интеграция EDR, XDR и NDR помогает обнаруживать сложные атаки в реальном времени.

Злоумышленники совершенствуют методы атак, находя способы обхода даже самых продвинутых антивирусных решений. Актуальность проактивных мер кибербезопасности выходит на первый план – без многоуровневой защиты и постоянного мониторинга организаций риск потерь и разрушительных последствий значительно возрастает.

Источники
Комментировать

Сейчас на главной

4 февр. 2025 г., 18:49:16
Рынок ИИ-робототехники взлетит на 280% и достигнет $64 млрд к 2030 году

Мировая индустрия робототехники пережила череду взлетов и падений за последние годы. В период пандемии в 2020 году спрос на автоматизированные системы резко возрос, однако к 2022 году рынок столкнулся со спадом, а 2024 год принес стагнацию. Однако эксперты уверены: в ближайшие пять лет сектор ожидает стремительный рост. Главным драйвером этого процесса станет ИИ-робототехника, которая уже сегодня становится новым глобальным технологическим трендом.

4 февр. 2025 г., 18:35:41
Форум «IT-Ось 2025» обсудит тренды технологий в Москве

13 февраля в Москве, в кластере «Ломоносов», пройдет VII технологический форум «IT-Ось 2025: Хайп | Антихайп». Организатором мероприятия выступает один из ведущих российских ИТ-дистрибьюторов – компания OCS. Это значимое событие для представителей ИТ-индустрии и высокотехнологичных компаний ежегодно привлекает более 2 тысяч участников, включая дилеров, интеграторов, вендоров и других ключевых игроков ИТ-рынка.

4 февр. 2025 г., 16:46:27
ВТБ предоставил владельцам премиальных бизнес-карт «Мир» безлимитный доступ в бизнес-залы аэропортов и вокзалов

Банк ВТБ расширяет возможности для СМБ клиентов, предложив держателям премиальных бизнес-карт «Мир» бесплатный и безлимитный доступ в бизнес-залы аэропортов и железнодорожных вокзалов. Новый сервис Mir Pass позволит владельцам карт ожидать вылетов и поездов в более чем 700 бизнес-залах в России и за рубежом.