Бизнес атакуют программы-вымогатели. Что важно о них знать?

Главная угроза цифровизации - не нехватка бюджетов и даже не технологическое отставание. Куда большей бедой для развития бизнесов по всему миру стали киберпреступники и взятые ими на вооружение программы-вымогатели. В июле 2020 года ежедневно фиксировались 2300 случаев заражения устройств таким ПО. Спустя всего полгода эта цифра выросла более чем в 7 раз - до 17200 устройств.

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Зарегистрируйтесь, чтобы скачать исследование компании Fortinet о программах-вымогателях и основных проблемах, которые они вызывают.

Информационная безопасность операционных технологий

За последний год 90% компаний по всему миру хотя бы один раз столкнулись с внешним вторжением. При этом почти две трети организаций (63%) пережили не менее трех атак! Причиной тому стала в том числе пандемия, которая усложнила обеспечение ИБ операционных технологий.

Зарегистрируйтесь, чтобы получить исследование о состоянии операционных технологий и информационной безопасности в 2021 г.

Безопасность Бизнес Техника | Поделиться

Российские компании атакует хитрое шпионское ПО, спрятанное в системном реестре Windows

Обнаружившие новый троянец DarkWatchman эксперты полагают, что он используется для первичной компрометации для дальнейшего запуска шифровальщиков. Модуль кейлоггера DarkWatchman хранит прямо в системном реестре.

Темный соглядатай

Бесфайловый RAT-троянец и кейлоггер DarkWatchman атакует российские организации. Его разработчики предположительно также говорят на русском языке, указывают исследователи компании Prevailion.

Первые сведения о существовании DarkWatchman появились в ноябре 2021 г., указывает издание Bleeping Computer. Тогда злоумышленники начали распространять вредонос через фишинговые рассылки внутри прилагаемого ZIP-архива.

Архив содержит исполняемый файл с иконкой, имитирующей текстовый документ; исполняемый файл представляет собой еще один, самораспаковывающийся, архив WinRAR, из которого уже устанавливаются RAT-троянец, написанный на JavaScript, и кейлоггер, написанный на C#.

При открытии появляется всплывающее окно с сообщением «неизвестный формат», но в реальности в этот момент в фоновом режиме устанавливаются вредоносы.

Российские организаций атакует особо скрытный троянец-кейлоггер

RAT-троянец очень мал по размерам - всего 32 килобайта; при компиляции - 8,5 килобайт. Как отмечают выявившие его эксперты, он использует множество легитимных программ, скриптов и библиотек и применяет различные методы скрытой передачи данных между отдельными модулями.

Прямо в системном реестре

Самая выдающаяся особенность DarkWatchman - это использование системного реестра Windows для хранения кейлоггера: вместо того, чтобы хранить его на диске, создается новая запись в диспетчере задач, которая запускает RAT-троянец при каждом входе пользователя в Windows.

При запуске DarkWatchman активирует скрипт PowerShell, который компилирует кейлоггер, используя команду .NETCSC.exe, и загружает его в память. Исходный код кейлоггера при этом хранится именно в системном реестре под видом команды PowerShell. Там же хранится информация о нажатиях клавиш.

«Сам по себе кейлоггер не устанавливает связь с контрольным сервером и не записывает данные на диск, - пишут исследователи. - Вместо этого перехваченные данные сохраняются в ключе системного реестра, используемого в качестве буфера. Во время работы RAT извлекает данные и очищает буфер, прежде чем переслать информацию о перехваченных нажатиях клавиш на контрольный сервер».

Операторы DarkWatchman используют алгоритмы генерации доменных имен (DGA) и создают до 500 различных доменов ежедневно. Это обеспечивает им высокую сопротивляемость попыткам противодействия и значительно затрудняет мониторинг и анализ вредоноса.

Многофункциональный шпион

Функциональность DarkWatchman предусматривает такие операции как запуск EXE-файлов, загрузку библиотек DLL, запуск команд через командную строку, запуск WSH-команд и команд через WMI, запуск команд PowerShell, загрузку файлов на контрольный сервер, удаленную остановку и удаление и троянца, и кейлоггера, удаленное обновление адреса контрольного сервера, удаленное же обновления самих троянца и кейлоггера, а также создание автозапуска JavaScript при запуске RAT.

Если скомпрометированный пользователь обладает административными полномочиями, троянец удаляет теневые копии, используя vssadmin.exe.

Эксперты Prevailion предполагают, что, поскольку вредонос способен загружать дополнительные модули извне, DarkWatchman - это прежде всего инструмент первичной компрометации, открывающий путь для будущих атак шифровальщиков. Вероятно, речь будет идти об атаках, в которых в задачу партнеров шифровальных группировок будет входить только проникновение в целевую сеть, а загрузку шифровальщика будет осуществлять уже его непосредственный оператор.

Цедал Нили: не совершайте главную ошибку при возвращении в офис

Менеджмент Статьи РБК Многие руководители стараются забыть про опыт удаленной работы после возвращения в офис, но профессор Гарварда Цедал Нили считает такой подход опасным. Какие пять ошибок менеджеры совершают чаще всего - в подборке ее идей ...


Группы: ВК|Fb|Tw|OK
Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202112Новости, 202112 → Бизнес атакуют программы-вымогатели. Что важно о них знать?