Главная → НовостиНовостиНовости, 201912Новости, 201912 → С чего начнется четвертая промышленная революция в вашей компании?

С чего начнется четвертая промышленная революция в вашей компании?

Операционные технологии управляют оборудованием в критически важных инфраструктурах. И они отделены от традиционных ИТ-сетей. Их интеграция - одна из основ Индустрии 4.0. Но 90% компаний отдаляются от цели, потому что не могут обеспечить безопасность ОТ-сетей.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

ак минимизировать риски и научиться извлекать максимальную прибыль? Как научиться идентифицировать все устройства в своих сетях? Как правильно управлять идентификацией и доступом? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу об безопасной интеграции ОТ- и ИТ-сетей прямо сейчас. × Как защитить критическую инфраструктуру от киберпреступников?

ОТ-системы, управляющие оборудованием в КИИ - под серьезной угрозой. В 85% случаев они беззащитны даже перед повторными атаками одних и тех же зловредов. Всему виной - цифровизация, которая вынуждает ОТ- и ИТ-сети интегрироваться. Данные становятся ближе к оборудованию КИИ, а хакеры - к данным.

С какими угрозами борются компании с ОТ-сетями? Какие ОТ-протоколы чаще всего страдают от атак? У каких поставщиков ICS/SCADA есть иммунитет от преступников? Зарегистрируйтесь, чтобы скачать бесплатно исследование о тенденциях в сфере безопасности операционных технологий прямо сейчас. Хитрый троян научился перезагружать Windows, чтобы избежать антивирусов ПО Безопасность Бизнес 11.12.2019, Ср, 10:15, Мск , Текст: Денис Воейков

Шифровальщик Snatch крадет важные данные из корпоративных систем, переводит машины под Windows в SafeMode и производит шифрование файлов. Злоумышленники ищут себе в помощь «партнёров» с доступом внутрь корпоративных сетей.

Подальше от антивирусов

Эксперты по безопасности компании Sophos обнаружили новый шифровальщик, который использует грубый, но действенный способ обхода всех защитных средств Windows. Он перезагружает операционную систему в безопасный режим (Safe Mode). В этом режиме большая часть средств защиты автоматически деактивируется. Snatch же вписывает себя в систему в качестве службы, которая продолжает работать и в этом режиме. И именно в Safe Mode производится шифрование.

Рассматриваемый вредонос, впервые появившийся на радарах специалистов по информбезопасности в конце 2018 г., может успешно атаковать большую часть пользовательских разновидностей Windows версий с 7 до 10 — и 32-битных, и 64-битных. На других платформах он не работает.

Перезагрузка в безопасный режим — это новая для Snatch функция. При этом, помимо шифрования файлов, он способен красть данные.

Пресс-служба Microsoft прокомментировала ситуацию кратко. «Windows Defender обнаруживает угрозу Snatch и защищает от нее, — отметили собеседники CNews. — Мы рекомендуем заказчикам использовать Windows 10 со включенными автоматическими обновлениями».

Русский след

Есть основания полагать, что Snatch написан русскоязычными программистами. Эксперты Sophos отметили, что на киберкриминальных форумах распространяются сообщения от так называемой SnatchTeam о поиске «адвертов (партнеров) с доступами RDP\VNC\TeamViewer\WebShell\SQLinj к корпоративным сетям, шопам и прочим компаниям». Объявление написано на русском. Тот же пользователь потом отвечает кому-то на посредственном английском, что с англоязычными пользователями SnatchTeam не работает.

Русскоязычный вредонос шифрует файлы в безопасном режиме Windows

В Sophos предполагают, что Snatch Team применяет модель «активной автоматизированной атаки», используя автоматизированный брутфорс против уязвимых служб внутри корпоративных сетей, а затем вручную осваивают сеть и закрепляются в ней — с последующей атакой на избранные машины. Размеры выкупа составляют от 12 до $35 тыс. в биткоинах, и в последнее время требуемая сумма растет.

Одни и те же инструменты

Экспертам Sophos удалось получить системные логи из сети, которую SnatchTeam атаковали, но данные в которой не смогли зашифровать.

Злоумышленники сначала получили с помощью брутфорса пароль к административному аккаунту на сервере под управлением MicrosoftAzure, а затем использовали это для дальнейшего проникновения в доменный контроллер в той же сети и в течение нескольких недель мониторили сеть. Экспертам Sophos удалось обнаружить ПО для слежки на 200 машинах сети (то есть, примерно на 5% машин в организации).

Кроме всего прочего, на машинах обнаружились такие инструменты как Process Hacker, IObit Uninstaller, PowerTool и PsExec. Это легитимные продукты, однако злоумышленники использовали их в своих целях — обычно для отключения антивирусной защиты. PsExec, впрочем, использовался для запуска шифровального компонента.

«Последующая охота» за теми же файлами, что применялись в исследуемой Sophos атаке, позволила обнаружить несколько других нападений, в которых использовался ровно тот же самый набор инструментов. Пострадали организации в США, Канаде, нескольких европейских странах. Как потом выяснилось, в сетях всех этих компаний, где обнаруживались данные файлы, имелись машины с RDP-доступом извне.

На ручном управлении

Интересно, что злоумышленники, по-видимому, активно мониторят системы, на которых функционируют их инструменты. Один из аналитиков Sophos в процессе работы с вредоносом на «тестовом стенде» впрямую столкнулся с «ручным» противодействием операторов Snatch.

Эксперты Sophos настоятельно рекомендуют не «оставлять окна открытыми» — то есть, убедиться, что машины внутри корпоративной сети не имеют RDP-выхода в интернет или использовать VPN для защиты от несанкционированного доступа. Любые другие службы, которые могут быть использованы для вторжения извне, также должны быть перекрыты, а административные аккаунты должны быть снабжены многофакторной авторизацией.

«Атаки шифровальщиком производились только спустя несколько дней или даже недель после первичного вторжения, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — И при условии, что присутствие злоумышленников никак не выявлено. Эффективные SIEM-системы по идее должны позволить такое вторжение обнаружить. Но и их наличие не отменяет необходимости, во-первых, держать под постоянным контролем любые соединения, позволяющие подключаться к корпоративной сети извне, а во-вторых, постоянно производить резервное копирование данных. В конечном счете, резервные копии — единственное действительно эффективное средство противодействовать атакам шифровальщиков».

Главная → НовостиНовостиНовости, 201912Новости, 201912 → С чего начнется четвертая промышленная революция в вашей компании?

Найден способ «разогнать» настольные ПК до производительности суперкомпьютеров

Toshiba создала алгоритм, позволяющий проводить трейдерские расчеты на обычных ПК быстрее, чем это сделали бы квантовые суперкомпьютеры. Алгоритм находится в стадии разработки, Toshiba провела ряд его успешных тестирований, однако эксперты в сфере фи...

Главными ИТ-трендами 2020 года в России станут супераппы и искусственный интеллект

В первую очередь такие продукты появятся у компаний с развитыми экосистемами собственных сервисов, полагают эксперты....

Уволен пресс-секретарь Роскомнадзора, которого обвиняли в мошенничестве

Роскомнадзор сообщил о назначении нового пресс-секретаря — помощника руководителя ведомства по связям с общественностью. Эту позицию заняла Елена Прохорова, которая имеет многолетний опыт работы в пиаре....

Президент РФ предложил дать бесплатный доступ к «социально значимым» сайтам

При этом неясно, как будут компенсироваться расходы операторов....

Власти собрались построить «российский Github» за 2 миллиарда

Министерство экономического развития (Минэкономразвития) России предложило создать отечественное хранилище проектов с открытым кодом, аналог популярного сервиса Github, который принадлежит корпорации Microsoft. На реализацию инициативы планируется на...

[Популярные социальные сети] [*Добавить сайт]

Нравится

Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |