1
0
0
0
В атаках обвинили русскоязычную банду вымогателей.
В сети обнаружено вредоносное ПО, которое блокирует и уничтожает программное обеспечение для реагирования на конечные точки (EDR). Учитывая, что вирусная программа использует RansomHub, вскоре она может стать весьма распространенной, сообщает производитель средств IT-безопасности Sophos. Его аналитики дали убийце EDR название EDRKillShifter. Он использует легитимные, но уязвимые драйверы на компьютерах Windows для доставки вредоносного ПО к целям.
RansomHub, появившийся в начале 2024 года, стал одним из наиболее широко используемых инструментов злоумышленников-вымогателей. Но взгляд внутрь вредоносной программы показывает, что она не так опасна, как кажется на первый взгляд, если принять надлежащие меры предосторожности.
«За атакой с использованием RansomHub стоит русскоязычная банда «3AM Ransomware», – заявили аналитики. – Она впервые появилась в прошлом году и опубликовала около 22 ГБ данных, украденных из Kootenai, на своем сайте утечек.»
Как хакеры проникают в ваш компьютер?
В исследовании Sophos не упоминается маршрут входа для злоумышленников, использующих EDRKillShifter, но отмечается, что «такая атака возможна только в том случае, если злоумышленник сможет получить права администратора».
Получив необходимые разрешения, злоумышленник может запустить вредоносное ПО через командную строку и ввести пароль, чтобы оно заработало. С этого момента EDRShiftKiller скрывает свою активность с помощью самомодифицирующегося кода и нескольких различных EDR-убийц, которые написаны на Go и также скрываются.
Если первоначальные попытки внедриться в память оказываются успешными, то EDRShiftKiller развертывает одну из двух полезных нагрузок, которая создает новую службу для скомпрометированного драйвера, заставляя его войти в бесконечный цикл, который уничтожает любую из его целей.
Организациям настоятельно рекомендуется проверить свои настройки, поскольку было обнаружено, что тысячи сайтов, выходящих на внешние ресурсы, подобные NetSuite SuiteCommerce или SiteBuilder, могут использоваться для утечки персональных данных клиентов.
Учитывая это, аналитики рекомендуют соблюдать надлежащую гигиену ролей безопасности Windows. Это означает четкое разделение пользователей и администраторов, проверку того, включена ли защита от несанкционированного доступа в программном обеспечении EDR, а также обновление систем и драйверов.
Что сделать с настройками ПК и какие сайты заблокировать?
Аарон Костелло, руководитель отдела исследований безопасности SaaS в AppOmni написал в своем блоге, что плохая конфигурация контроля доступа в сочетании с неправильным использованием API-интерфейсов записи и поиска позволит не идентифицированному пользователю (хакеру) извлекать ваши данные.
«Здесь есть много оговорок — например, злоумышленнику необходимо знать, какие типы записей о клиентах (CRT) используются, — но совет остается прежним: проверьте настройки NetSuite, ужесточите контроль доступа к CRT и заблокируйте общедоступные сайты. Я настоятельно рекомендую администраторам начать оценку контроля доступа на уровне полей и определить, какие поля, если таковые имеются, должны быть раскрыты», — добавил Костелло.
Вдобавок, производитель средств IT-безопасности сообщает о еще одной серьезной проблеме для пользователей сети в виде уязвимости SolarWinds (CVE-2024-28986 ). Начиная с прошлой недели она активно эксплуатируется и может быть найдена в SolarWinds Web Help Desk. Это уязвимость удаленного выполнения кода десериализации Java, которая позволяет злоумышленнику запускать команды на хост-машине.
«Из соображений предосторожности, мы рекомендуем всем клиентам Web Help Desk применить исправление уязвимости, которое теперь доступно», – заявил поставщик ПО безопасности.
Названы варианты самого вредоносного ПО в 2024 году
В то же время компания ReliaQuest опубликовала список из пяти вариантов вредоносного ПО, которые, по ее утверждению, оказали большое влияние в 2024 году. Список возглавил вредоносный код для Windows LummaC2, который продемонстрировал существенный рост за квартал: число заявок на LummaC2 на российском рынке выросло на 52%.
Далее в списке идут всевозможные программы для кражи информации на основе Rust. Они становятся все более популярными из-за того, что Rust быстрый, легко программируется для обхода антивирусного ПО и поддерживает кроссплатформенность.
Троян удаленного доступа SocGholish, долгое время пользовавшийся популярностью, продолжает оставаться таковым благодаря новому изменению кода Python, позволяющему обеспечить его устойчивость. Популярность AsyncRAT также резко возросла.
Замыкает список вредоносное ПО-бэкдор Oyster, распространяемое веб-сайтами, на которых размещается якобы легитимное ПО, зараженное вирусом.
«Oyster, также известный как Broomstick и CleanUpLoader, связан с некоторыми из ведущих российских хакерских группировок, включая Wizard Spider», – утверждает компания ReliaQuest.
Убедитесь, что ваши системы безопасности защищены от различных уловок, которые используют эти семейства вредоносных программ, посоветовали эксперты.
Изображения сгенерированы ИИ
