Убедитесь в защите вашего компьютера: в сети обнаружили вредоносного убийцу

В атаках обвинили русскоязычную банду вымогателей.

В сети обнаружено вредоносное ПО, которое блокирует и уничтожает программное обеспечение для реагирования на конечные точки (EDR). Учитывая, что вирусная программа использует RansomHub, вскоре она может стать весьма распространенной, сообщает производитель средств IT-безопасности Sophos. Его аналитики дали убийце EDR название EDRKillShifter. Он использует легитимные, но уязвимые драйверы на компьютерах Windows для доставки вредоносного ПО к целям.

RansomHub, появившийся в начале 2024 года, стал одним из наиболее широко используемых инструментов злоумышленников-вымогателей. Но взгляд внутрь вредоносной программы показывает, что она не так опасна, как кажется на первый взгляд, если принять надлежащие меры предосторожности.

«За атакой с использованием RansomHub стоит русскоязычная банда «3AM Ransomware», – заявили аналитики. – Она впервые появилась в прошлом году и опубликовала около 22 ГБ данных, украденных из Kootenai, на своем сайте утечек.»

Как хакеры проникают в ваш компьютер?

В исследовании Sophos не упоминается маршрут входа для злоумышленников, использующих EDRKillShifter, но отмечается, что «такая атака возможна только в том случае, если злоумышленник сможет получить права администратора».

Получив необходимые разрешения, злоумышленник может запустить вредоносное ПО через командную строку и ввести пароль, чтобы оно заработало. С этого момента EDRShiftKiller скрывает свою активность с помощью самомодифицирующегося кода и нескольких различных EDR-убийц, которые написаны на Go и также скрываются.

Если первоначальные попытки внедриться в память оказываются успешными, то EDRShiftKiller развертывает одну из двух полезных нагрузок, которая создает новую службу для скомпрометированного драйвера, заставляя его войти в бесконечный цикл, который уничтожает любую из его целей.

Организациям настоятельно рекомендуется проверить свои настройки, поскольку было обнаружено, что тысячи сайтов, выходящих на внешние ресурсы, подобные NetSuite SuiteCommerce или SiteBuilder, могут использоваться для утечки персональных данных клиентов.

Учитывая это, аналитики рекомендуют соблюдать надлежащую гигиену ролей безопасности Windows. Это означает четкое разделение пользователей и администраторов, проверку того, включена ли защита от несанкционированного доступа в программном обеспечении EDR, а также обновление систем и драйверов.

Что сделать с настройками ПК и какие сайты заблокировать?

Аарон Костелло, руководитель отдела исследований безопасности SaaS в AppOmni написал в своем блоге, что плохая конфигурация контроля доступа в сочетании с неправильным использованием API-интерфейсов записи и поиска позволит не идентифицированному пользователю (хакеру) извлекать ваши данные.

«Здесь есть много оговорок — например, злоумышленнику необходимо знать, какие типы записей о клиентах (CRT) используются, — но совет остается прежним: проверьте настройки NetSuite, ужесточите контроль доступа к CRT и заблокируйте общедоступные сайты. Я настоятельно рекомендую администраторам начать оценку контроля доступа на уровне полей и определить, какие поля, если таковые имеются, должны быть раскрыты», — добавил Костелло.

Вдобавок, производитель средств IT-безопасности сообщает о еще одной серьезной проблеме для пользователей сети в виде уязвимости SolarWinds (CVE-2024-28986 ). Начиная с прошлой недели она активно эксплуатируется и может быть найдена в SolarWinds Web Help Desk. Это уязвимость удаленного выполнения кода десериализации Java, которая позволяет злоумышленнику запускать команды на хост-машине.

«Из соображений предосторожности, мы рекомендуем всем клиентам Web Help Desk применить исправление уязвимости, которое теперь доступно», – заявил поставщик ПО безопасности.

Названы варианты самого вредоносного ПО в 2024 году

В то же время компания ReliaQuest опубликовала список из пяти вариантов вредоносного ПО, которые, по ее утверждению, оказали большое влияние в 2024 году. Список возглавил вредоносный код для Windows LummaC2, который продемонстрировал существенный рост за квартал: число заявок на LummaC2 на российском рынке выросло на 52%.

Далее в списке идут всевозможные программы для кражи информации на основе Rust. Они становятся все более популярными из-за того, что Rust быстрый, легко программируется для обхода антивирусного ПО и поддерживает кроссплатформенность.

Троян удаленного доступа SocGholish, долгое время пользовавшийся популярностью, продолжает оставаться таковым благодаря новому изменению кода Python, позволяющему обеспечить его устойчивость. Популярность AsyncRAT также резко возросла.

Замыкает список вредоносное ПО-бэкдор Oyster, распространяемое веб-сайтами, на которых размещается якобы легитимное ПО, зараженное вирусом.

«Oyster, также известный как Broomstick и CleanUpLoader, связан с некоторыми из ведущих российских хакерских группировок, включая Wizard Spider», – утверждает компания ReliaQuest.

Убедитесь, что ваши системы безопасности защищены от различных уловок, которые используют эти семейства вредоносных программ, посоветовали эксперты.

Изображения сгенерированы ИИ

вопрос 1 из 10

С утра ты пришел на работу и первым делом...

А) Проверяю состояние проекта. Может, за ночь сам собой сломался?

Б) Варю кофе, иначе мозги не включаются. Проект подождёт.

В) Втыкаю в мемы в чате. Если всё сломалось, об этом мне и так скажут.

Далее

вопрос 1 из 10

Билд не собирается, а дедлайн уже завтра. Твои действия?

А) Начинаю методично исправлять ошибки, не паникую (ну, почти).

Б) Беру чашку кофе и думаю: « Может, само как-то решится?»

В) Делаю вид, что занят, и жду, пока кто-то другой починит. Стану героем позже!

Далее

вопрос 1 из 10

Кофе-машина внезапно отказала в самый разгар рабочего дня. Что ты сделаешь?

А) Печально вздохну и пойду на ближайшую заправку за спасительным кофеином.

Б) Попробую починить её — инженерный подход ко всему!

В) Пью воду… хотя какой тут проект без кофе? Прощай, производительность.

Далее

вопрос 1 из 10

Ты на грани нервного срыва, а проект не готов. Что подведёт тебя первым?

А) Я! Я первый сломаюсь. Проект уже не так важен, как мои нервы.

Б) Проект, конечно. Ему по традиции суждено крашнуться перед дедлайном.

В) Кофе-машина. Если она не заработает — конец всему.

Далее

вопрос 1 из 10

Как ты справляешься с багами, которые появляются прямо перед релизом?

А) Быстро нахожу решение — я ведь профи! Хотя кофе лишним не будет.

Б) Пью кофе, смотрю на баг и думаю, что сделать с ним завтра.

В) Перекладываю задачу на кого-то другого и иду варить ещё одну чашечку.

Далее

вопрос 1 из 10

Представь, что проект внезапно упал. Что ты будешь делать?

А) Паниковать! Потом быстро всё чинить. Может, даже без кофе.

Б) Первым делом — кофе, потом решать проблему. Спокойствие важнее.

В) О, проект упал? Я его не трогал. Это точно не моя проблема.

Далее

вопрос 1 из 10

Как ты ведёшь себя в день релиза?

А) Проверяю всё по сто раз, даже кофе не пью — только вода и фокус.

Б) Сначала пью кофе, потом снова кофе. Должен быть в форме.

В) Жду момента, когда что-то сломается, и готовлюсь сказать: «Ну, я же предупреждал!»

Далее