С чего начнется четвертая промышленная революция в вашей компании?

�ак минимизировать риски и научиться извлекать максимальную прибыль? Как научиться идентифицировать все устройства в своих сетях? Как правильно управлять идентификацией и доступом? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу о безопасной интеграции ОТ- и ИТ-сетей прямо сейчас. × Как защитить критическую инфраструктуру от киберпреступников?

ОТ-системы, управляющие оборудованием в КИИ - под серьезной угрозой. В 85% случаев они беззащитны даже перед повторными атаками одних и тех же зловредов. Всему виной - цифровизация, которая вынуждает ОТ- и ИТ-сети интегрироваться. Данные становятся ближе к оборудованию КИИ, а хакеры - к данным.

Ряд известных компаний был атакован неизвестными злоумышленниками, использовавшими файлы SLK для Microsoft Excel, чтобы установить RAT-инструмент в локальные сети. Насколько успешными были атаки, пока неизвестно.

Сразу тринадцать крупных компаний, в том числе корпорация игрушек Hasbro, выпускающая трансформеров, и телеком-гигант Iridium, стали объектами масштабной фишинговой кампании. Конечной целью злоумышленников была, по-видимому, установка в их локальные сети инструмента для удаленного администрирования.

Кампания, которую обнаружили эксперты Malware Hunter Team, проводилась весьма осмысленно: злоумышленники использовали нетипичный формат вложений в фишинговые письма; каждое послание и каждое вложение было адаптировано под целевую организацию. Письма имитировали деловую переписку — каждое послание якобы исходило от клиента или подрядчика компании, и в них даже содержались предложения перезвонить, если потребуется.

Рассылка, впрочем, производилась с адресов в бесплатном сервисе Hotmail, что уже могло бы вызывать подозрения.

К настоящему времени атаки были также направлены на компании A2B Austarlia Limited, Asarco LLC, Aus Net Services, Bega Cheese, Boc GroupI nc, Glad Products Company, Hydratight, Messer LLC, Mutual Bank, Pact Group и Sappi North America. На самом деле, атаке могли подвергнуться и многие другие структуры.

Информации о том, были ли случаи успешной компрометации, нет.

Что касается формата вложения, то здесь все оказалось довольно своеобразно. К каждому фишинговому посланию прилагался файл с расширением .SLK. Это Symbolic Link, формат файлов для обмена данными между таблицами Microsoft Excel. Иконка, обозначающая эти файлы, сильно напоминает иконку Excel. Этот формат файлов, можно использовать и для встраивания активного содержимого в таблицы, и запуска команд EEXEC в Excel. На данную функциональность, собственно, злоумышленники и рассчитывали.

При открытии вложения пользователю предлагается разрешить редактирование (Enable Editing) и включить содержимое (Enable Content). То есть, по сути, снять всякую защиту от потенциально вредоносных макросов и активных модулей.

Если пользователь нажимает Enable Content, SLK-файл из вложения срабатывает и запускает команды EEXEC, создавая на жестком диске (в папке временных файлов) batch-файл и запуская его.

Этот файл, в свою очередь, пытается скачать с удаленного сервера и запустить локально файл .MSI (установщик приложений для Windows). Сервер, на котором лежал этот файл, уже не функционирует. По данным Malware Hunter Team, это было приложение Net Support Manager — вполне легитимный кроссплатформенный инструмент удаленного администрирования, который едва ли будет распознаваться антивирусами и другими защитными средствами.

По идее такой инструмент обеспечивает злоумышленникам режим наибольшего благоприятствования в чужих сетях, вплоть до полной компрометации любых ресурсов и любой содержащейся в них информации.

«Корпоративные сети крупных компаний — безусловно, золотое дно для киберзлоумышленников, если они находят способ проникать и перемещаться внутри них с минимальными затратами усилий, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Кража данных, кража денег, заражение ключевых ресурсов шифровальщиками — все это становится возможным при успешной компрометации. Фишинг — по-прежнему эффективное средство для такой компрометации, и, учитывая соотношение необходимых затрат и возможных результатов, подчас очень прибыльное. Единственный способ защититься от таких атак — постоянно обучать персонал распознавать фишинг и соблюдать правила безопасности. И, если в письме есть вложение с активным содержимым, то его источник необходимо перепроверять по иным, нежели электронная почта, каналам».

Dell, HP и Lenovo и признали, что периферия их ПК несет им долгосрочную угрозу

Microsoft оградит от вирусов и хакеров пользователей Linux

Samsung разослал пугающие уведомления владельцам смартфонов по всему миру

Раскрученная интернет-премия «Лайк года» оказалась схемой с кражей денег у россиян

«Туннели» выводят на свет: как обеспечить приватность в незащищенном пространстве

Индия начала гонения на пользователей прокси и VPN. Можно сесть в тюрьму

Игорь Никитин

министр ИТ Пермского края

Дмитрий Гарбар

управляющий директор компании «Новая Афина»

Рост популярности «датаемких» решений, таких как средства ИИ, требует быстрых протоколов передачи данных.