•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
«Лаборатория Касперского» выявила серию целевых атак программ-вымогателей на компании в Южной Корее.

«Лаборатория Касперского» выявила серию целевых атак программ-вымогателей на компании в Южной Корее.

В апреле 2021 года эксперты GReAT (глобального центра исследования и анализа угроз «Лаборатории Касперского») зафиксировали ряд целевых атак с использованием программ-вымогателей на южнокорейские компании из разных отраслей.


"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА..

logo.jpg   РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Kaspersky для бизнеса Стандартный 
Бизнес меняется и становится цифровым, поэтому важно обеспечить надежную защиту каждого вашего сервера, ноутбука и мобильного устройства. Решение нового поколения с единой консолью управления поможет надежно защитить от киберугроз все рабочие места вашей организации. Подробнее>>
Kaspersky для бизнеса Расширенный 
Данное Решение содержит большое число возможностей, которые повышают безопасность и упрощают управление защитой. Встроенное шифрование, управление установкой исправлений, централизованное развертывание операционных систем и программного обеспечения – эти и другие инструменты, в совокупности с технологиями защиты нового поколения, позволяют вашей организации эффективно противодействовать угрозам и развивать бизнес, невзирая на все возрастающее количество угроз для рабочих мест. Подробнее>>
Kaspersky Total Security для бизнеса 
Решение для крупных компаний, которым важна безопасность не только конечных устройств и серверов, но и других узлов корпоративной сети. Включает в себя все возможности и преимущества уровня Kaspersky Endpoint Security для бизнеса Расширенный, а также обеспечивает защиту почтовых серверов, интернет-шлюзов и платформ совместной работы. Подробнее>>
Безопасность нового поколения для бизнеса. Купить (Kaspersky Base lic) или продлить (Kaspersky renewal lic) лицензию (ключ) Kaspersky.
 

Используемые инструменты и несколько характерных признаков в коде позволили предположить, что их проводила кибергруппа Andariel, которая, по данным Корейского агентства финансовой безопасности, входит в состав Lazarus.
Основные цели Andariel — получение прибыли и кибершпионаж. С 2017 года группа атакует преимущественно финансовые институты, например, ранее она взламывала банкоматы в Южной Корее.
С середины 2020 года Andariel распространяла вредоносный документ Word с безобидным названием «Форма заявки на участие»*, который позволял выполнить ранее неизвестную схему заражения с трёхступенчатой загрузкой. Открытие документа приводило к запуску в фоновом режиме вредоносного макроса, жертва в явном виде должна была дать согласие на запуск макроса. Макрос, в свою очередь, запускал скрытый HTA-файл (HTML Application), который содержал модуль для взаимодействия с командно-контрольным сервером, маскирующийся под Internet Explorer (используя его иконку). Его основной задачей была подготовка к выполнению полноценного модуля удалённого доступа, открывающего широкие возможности для дистанционного управления скомпрометированной системой. Он позволял атакующим выполнять команды Windows, подключаться к заданному IP-адресу, составлять список файлов и манипулировать ими, а также делать скриншоты.
Стоит отметить, что в некоторых случаях после модуля удалённого доступа к заражённой системе загружалась ещё и программа-вымогатель, которая зашифровывала почти все файлы на компьютере жертвы. Незашифрованными оставались только критически важные для системы файлы. При этом некоторые конфигурационные файлы также подвергались шифрованию, что с большой вероятностью могло приводить к отказу системы. За расшифровку данных атакующие требовали выкуп в криптовалюте.
Судя по имеющейся информации, атакующие могли использовать вместо документа Word PDF-документ, однако, как именно происходило заражение в этом случае, пока точно неясно. Возможны как минимум два сценария: 1) эксплуатация уязвимости в программе, позволяющей просматривать PDF-документы; 2) сам PDF-документ — просто наживка, за которой скрывается запуск HTA-файла, как в случае с документом Word.

«Сейчас от атак Andariel страдают в основном организации в Южной Корее, но сохранять бдительность следует компаниям по всему миру. Важно заранее принять меры, чтобы не подвело самое слабое звено в цепочке защиты — человеческий фактор», — отмечает Виктор Чебышев, эксперт по кибербезопасности «Лаборатории Касперского».

Для предотвращения подобных атак «Лаборатория Касперского» рекомендует компаниям:
- регулярно проводить для сотрудников тренинги для улучшения навыков кибербезопасности, чтобы учить их распознавать фишинг и техники социальной инженерии;
- строго следить за соблюдением политик в области кибербезопасности;
- обеспечить команде SOC-центра доступ к актуальным аналитическим данным об угрозах;
- финансовым организациям — использовать многоуровневые решения для защиты как от общих, так и от целевых атак. В основе решений «Лаборатории Касперского» для кибербезопасности финансовых учреждений лежит более чем двадцатилетний опыт компании в предотвращении и детектировании атак на ранней стадии, а также построении защиты от будущих угроз.
* Название файла было написано корейскими иероглифами.

Материал подготовлен АО "Лаборатория Касперского"
Kaspersky Security - Решения для защиты бизнеса Купить со скидкой.

Переход в он-лайн магазин Датасиcтем - официального Поставщика Kaspersky Lab в Российской Федерации. Перейти на сайт Поставщика>>
"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.