Инструмент помогает аналитикам SOC-команд и сотрудникам отделов по реагированию на киберинциденты сопоставлять новые вредоносные операции с уже известными, эффективно определять источники и организаторов.
Чтобы выяснить, от какой именно кибергруппы исходит угроза, решение Kaspersky Threat Attribution Engine разбирает обнаруженный образец вредоносного кода на отдельные фрагменты, а затем ищет сходства в базе «Лаборатории Касперского». Эта информация помогает экспертам по кибербезопасности приоритизировать угрозы по степени риска, выделять наиболее серьёзные из них и вовремя принимать защитные меры.
Зная, кто и с какой целью атакует компанию, сотрудники отделов по кибербезопасности могут быстро разработать и запустить план по реагированию на киберинцидент. Однако определение авторства — это сложная задача, для решения которой требуется не только большой объём информации о ранее происходивших инцидентах, но и умение её интерпретировать. Новый инструмент позволяет автоматизировать процесс классификации и распознавания сложного вредоносного ПО.
В зависимости от того, насколько анализируемый файл похож на образцы, хранящиеся в базе, решение Kaspersky Threat Attribution Engine определяет возможное происхождение и кибергруппу, стоящую за атакой, даёт короткое описание и ссылки на частные и публичные ресурсы с информацией о кампаниях, где был задействован сходный код. Подписчикам Kaspersky APT Intelligence Reporting доступен также подробный отчёт о тактиках, техниках и процедурах, используемых кибергруппой, и инструкция, как действовать дальше.
В основу решения лёг внутренний инструмент, используемый командой GReAT*. В частности, с его помощью изучались iOS-имплант LightSpy, TajMahal, ShadowHammer и Dtrack. Одно из наиболее свежих расследований, для которого применялся Kaspersky Threat Attribution Engine, — кампания кибершпионажа CactusPete, направленная на финансовые и военные организации в Восточной Европе. В период с марта 2019 по апрель 2020 года эксперты обнаружили 300 относящихся к ней вредоносных образцов.
Решение Kaspersky Threat Attribution Engine может быть развёрнуто в сети клиента, также в 2021 году станет доступно развёртывание в сторонней облачной сети. Кроме того, оно может быть использовано для создания собственной базы и заполнения её вредоносными образцами, которые находят аналитики компании-заказчика.
«Есть разные способы определять, кто именно стоит за атакой. Например, аналитики могут находить во вредоносном коде некие артефакты, которые указывают на язык, на котором говорят атакующие, или IP-адреса, позволяющие предположить их местонахождение. Однако продвинутые кибергруппы могут подделывать такого рода данные и направлять исследователя по ложному следу — это происходит довольно часто. Наш опыт показывает, что лучший способ — искать сходные фрагменты кода с теми, что использовались ранее в других кампаниях. К сожалению, если делать это вручную, то на это могут уходить дни и даже месяцы. Чтобы автоматизировать и ускорить процесс, мы создали Kaspersky Threat Attribution Engine», — комментирует Сергей Новиков, заместитель руководителя глобального центра исследований и анализа угроз.
Более подробно о решении можно узнать на странице https://www.kaspersky.ru/enterprise-security/cyber-attack-attribution-tool.
*Kaspersky Global Research and Analysis Team – глобальный центр исследований и анализа угроз «Лаборатории Касперского»
Материал подготовлен АО "Лаборатория Касперского"
С его помощью можно проверить, насколько ваш бизнес защищён от киберугроз и блокировок по 115-ФЗ
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
«Доктор Веб» сообщает о предстоящем обновлении песочницы Dr.Web vxCube. Изменения касаются обеих версий: облачной и локальной (on-premise).
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
«Базальт СПО» выпустила серверную операционную систему на Одиннадцатой платформе (p11 Salvia). Основные изменения коснулись установки и настройки. Впервые в одном образе доступны две редакции — «Альт Сервер» и «Альт Домен». В новом приложении «Альт Компоненты» автоматизирована установка инструментов для различных способов использования сервера.
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
Награды получили решения компании для защиты частных пользователей, малого бизнеса и крупных компаний
Ваши контактные данные не публикуются на сайте.