На российский бизнес и госструктуры было совершено более 10 тыс. атак с использованием новых вредоносных скриптов

Исследователи «Лаборатории Касперского» выявили более 10 тыс. финансово мотивированных атак на организации из разных стран — в том числе из России — в рамках кампании с использованием нескольких типов вредоносного ПО, о которой ранее сообщало ФБР. Как выяснили эксперты, злоумышленники применяют не только бэкдоры, кейлоггеры и майнеры, но и новые вредоносные скрипты, позволяющие отключить функции безопасности и облегчить загрузку вредоносных программ.

Image: resheniya_dlya_inform_bezopasnosti.jpg

По данным телеметрии «Лаборатории Касперского», кампания продолжается: с мая по октябрь было совершено более 10 тысяч атак, которые затронули более 200 пользователей. Целью злоумышленников в первую очередь были государственные организации, сельскохозяйственные и торговые предприятия из России, Саудовской Аравии, Вьетнама, Бразилии и Румынии. Отдельные случаи были зафиксированы в США, Индии, Марокко и Греции.

Как действуют атакующие. ФБР ранее сообщило, что организации из разных стран подвергаются атакам c использованием сразу нескольких видов вредоносного ПО. Злоумышленники заражают их устройства для того, чтобы с помощью майнеров использовать ресурсы компании для добычи криптовалюты. Помимо этого, используются кейлоггеры для кражи данных и бэкдоры — для получения доступа к системе.

Злоумышленники могут проникать в систему, эксплуатируя уязвимости на серверах и рабочих станциях. Эксперты также обнаружили, что для атак используются новые версии вредоносных скриптов. С их помощью атакующие пытаются обойти Microsoft Defender, а также получить права администратора и помешать работе антивирусных компонентов. Если им это удаётся, они загружают бэкдор, кейлоггер и майнер с веб-ресурса, который сейчас уже недоступен. Майнер использует ресурсы системы, чтобы добывать различные криптовалюты, например Monero (XMR). В свою очередь кейлоггер фиксирует, какие клавиши нажимает пользователь на клавиатуре и мыши, а бэкдор устанавливает связь с сервером управления и контроля (C2) для получения и передачи данных. Это позволяет злоумышленникам получить удалённый контроль над скомпрометированной системой.

По словам экспертов, кампания с использованием различного вредоносного ПО быстро развивается, появляются новые модификации инструментов для совершения атак. По всей видимости, злоумышленники стремятся извлечь финансовую выгоду любым возможным способом. При этом цель атак не ограничивается только майнингом криптовалют. Злоумышленники могут красть учётные данные, чтобы затем продавать их в даркнете, или же реализовывать более сложные сценарии, используя возможности бэкдоров.

Чтобы защититься от постоянно развивающихся угроз, эксперты рекомендуют:

- своевременно обновлять ПО на всех устройствах и устанавливать обновления, чтобы избежать проникновения в сеть за счёт уязвимостей;

- проводить регулярный аудит безопасности ИТ-инфраструктуры организации, чтобы выявлять недостатки и уязвимости;

- использовать надёжное решение для обеспечения безопасности конечных устройств, которое позволяет обнаруживать как уже известные, так и новые угрозы, а также помогает минимизировать вероятность использования злоумышленниками криптомайнеров. Решение анализирует состояние системы, быстро выявляет вредоносную активность и предотвращает использование уязвимостей;

- отслеживать появление учётных данных в даркнете.