«Лаборатория Касперского»: злоумышленники продолжают использовать утёкший билдер шифровальщика LockBit для кибератак, в том числе в России27.04.2024 Злоумышленники продолжают использовать утёкший в 2022 году вариант билдера программы-шифровальщика LockBit 3.0 для создания собственных модификаций зловреда. В 2024 году эксперты «Лаборатории Касперского» столкнулись с использованием таких сборок в инцидентах в России, а также в других странах. Скорее всего, эти атаки не связаны между собой и были совершены разными группами. Для атак в странах СНГ утёкший билдер могли использовать и конкуренты группы LockBit. Функции распространения по сети и обхода защиты, которые можно настроить в билдере, повышают эффективность атак, особенно если у злоумышленников уже есть привилегированные учётные данные в целевой инфраструктуре. Так, в ходе одного из инцидентов использовался образец LockBit с не встречавшимися ранее функциями имперсонации и распространения по сети. Поскольку злоумышленники завладели учётными данными системного администратора, они смогли получить доступ к наиболее критичным областям корпоративной инфраструктуры. Эта версия шифровальщика при помощи украденных учётных данных могла самостоятельно распространяться по сети и выполнять такие вредоносные действия, как отключение защитника Windows, шифрование общих сетевых ресурсов и удаление журналов событий Windows для заметания следов. Билдер также позволяет злоумышленникам выбирать, какие файлы и каталоги не нужно шифровать. Если атакующие хорошо знают целевую инфраструктуру, они могут создать вредоносную программу под конкретную сетевую архитектуру объекта, обозначив важные файлы, учётные записи администраторов и ключевые системы. Можно настроить зловред на заражение только определённых файлов, например всех файлов .xlsx и .docx, или определённых систем. «Чаще всего злоумышленники используют преимущественно стандартную или слегка изменённую конфигурацию утекшего билдера, но не исключаем, что в будущем возможны ещё такие инциденты, когда зловред сможет выполнять операции от имени администратора и распространяться по сети. В России шифровальщик LockBit часто используют в атаках, цель которых ― полностью уничтожить данные, а не получить выкуп. Эта угроза может нести разрушительные последствия для компаний», ― комментирует Константин Сапронов, руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского». Для минимизации рисков потерять данные в результате атак программ-шифровальщиков эксперты «Лаборатории Касперского» рекомендуют компаниям: - своевременно устанавливать обновления ПО на всех системах; - применять многофакторную аутентификацию для доступа к важным ресурсам; - создавать резервные копии критичных данных; - отключать неиспользуемые службы и порты, чтобы минимизировать поверхность атаки; - регулярно проводить тесты на проникновение и мониторинг уязвимостей для выявления слабых мест и своевременного применения эффективных мер противодействия; - регулярно проводить тренинги по кибербезопасности, чтобы сотрудники знали о возможных киберугрозах и о том, как их избежать; - использовать надёжное защитное решение, такое как Kaspersky Endpoint Security для бизнеса, а также сервис Kaspersky Managed Detection and Response, для проактивного мониторинга угроз. Пресс-служба «Лаборатории Касперского» Тема:Безопасность |
© 2014. ИТ-Текст. Все права защищены.