БИЗНЕС-СЕТЬ KINETICS      |    ПОРТАЛЫ:   CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС SEC
Как перевести компанию на удаленную работу? >>>  
IT БЕЗОПАСНОСТЬ НОВОСТИ АНАЛИТИКА СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ Напишите нам!  
     Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.


ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
ВИДЕОНОВОСТИ
ИНТЕРВЬЮ
НОВОСТИ НА ФОРУМЕ
   
НОВОСТИ

11/12/2019

Хитрый троян научился перезагружать Windows, чтобы избежать антивирусов



Эксперты по безопасности компании Sophos обнаружили новый шифровальщик, который использует грубый, но действенный способ обхода всех защитных средств Windows. Он перезагружает операционную систему в безопасный режим (Safe Mode). В этом режиме большая часть средств защиты автоматически деактивируется. Snatch же вписывает себя в систему в качестве службы, которая продолжает работать и в этом режиме. И именно в Safe Mode производится шифрование.

Рассматриваемый вредонос, впервые появившийся на радарах специалистов по информбезопасности в конце 2018 г., может успешно атаковать большую часть пользовательских разновидностей Windows версий с 7 до 10 — и 32-битных, и 64-битных. На других платформах он не работает.

Перезагрузка в безопасный режим — это новая для Snatch функция. При этом, помимо шифрования файлов, он способен красть данные.

Пресс-служба Microsoft прокомментировала ситуацию кратко. «Windows Defender обнаруживает угрозу Snatch и защищает от нее, — отметили собеседники CNews. — Мы рекомендуем заказчикам использовать Windows 10 со включенными автоматическими обновлениями».
Русский след

Есть основания полагать, что Snatch написан русскоязычными программистами. Эксперты Sophos отметили, что на киберкриминальных форумах распространяются сообщения от так называемой SnatchTeam о поиске «адвертов (партнеров) с доступами RDPVNCTeamViewerWebShellSQLinj к корпоративным сетям, шопам и прочим компаниям». Объявление написано на русском. Тот же пользователь потом отвечает кому-то на посредственном английском, что с англоязычными пользователями SnatchTeam не работает.

В Sophos предполагают, что Snatch Team применяет модель «активной автоматизированной атаки», используя автоматизированный брутфорс против уязвимых служб внутри корпоративных сетей, а затем вручную осваивают сеть и закрепляются в ней — с последующей атакой на избранные машины. Размеры выкупа составляют от 12 до $35 тыс. в биткоинах, и в последнее время требуемая сумма растет.
Одни и те же инструменты

Экспертам Sophos удалось получить системные логи из сети, которую SnatchTeam атаковали, но данные в которой не смогли зашифровать.

Злоумышленники сначала получили с помощью брутфорса пароль к административному аккаунту на сервере под управлением MicrosoftAzure, а затем использовали это для дальнейшего проникновения в доменный контроллер в той же сети и в течение нескольких недель мониторили сеть. Экспертам Sophos удалось обнаружить ПО для слежки на 200 машинах сети (то есть, примерно на 5% машин в организации).

Кроме всего прочего, на машинах обнаружились такие инструменты как Process Hacker, IObit Uninstaller, PowerTool и PsExec. Это легитимные продукты, однако злоумышленники использовали их в своих целях — обычно для отключения антивирусной защиты. PsExec, впрочем, использовался для запуска шифровального компонента.

«Последующая охота» за теми же файлами, что применялись в исследуемой Sophos атаке, позволила обнаружить несколько других нападений, в которых использовался ровно тот же самый набор инструментов. Пострадали организации в США, Канаде, нескольких европейских странах. Как потом выяснилось, в сетях всех этих компаний, где обнаруживались данные файлы, имелись машины с RDP-доступом извне.



 
О портале Конфиденциальность Реклама на портале Карта сайта  
Copyright © 2010-2020 Secutity Online. All rights reserved.