Безопасность
Стратегия безопасности

«Лаборатория Касперского» опубликовала подробный отчет о деятельности группировки Head Mare, жертвами которой стали организации из России и Белоруссии. Эксперты проанализировали, как происходят атаки и какие инструменты используют злоумышленники. В частности, была установлена ​​связь с недавними целевыми атаками на российские организации с использованием вредоносного ПО PhantomDL.

Head Mare можно отнести к хактивистским группировкам, возникшим за последние два года. Впервые об этом было объявлено в 2023 году. Группа атакует компании в России и Белоруссии, ее цель, вероятно, — нанести им максимальный ущерб. Злоумышленники размещают в публичных аккаунтах информацию о жертвах, включая названия организаций, внутренние документы, скриншоты рабочих столов и административных консолей. На момент проведения исследования группа объявила, что атакам подверглись девять компаний в различных секторах: государственном секторе, транспорте, энергетике, производстве и сфере развлечений.

В отличие от других групп хактивистов, Head Mare не ограничивается общедоступными инструментами: например, она использует сложные фишинговые кампании для получения первоначального доступа, используя уязвимость в WinRAR, которая позволяет ей запускать собственное вредоносное ПО. Это говорит о том, что злоумышленники совершенствуют свои методы, тактику и процедуры, чтобы сделать свои атаки более эффективными.

Стандартные инструменты. Как и большинство групп хактивистов, Head Mare в основном использует общедоступное вредоносное ПО. Например, для шифрования файлов, что является конечной целью атаки, используются два семейства вредоносных программ: LockBit для Windows и Babuk для Linux (ESXi). Однако в отличие от групп хактивистов, которые не преследуют финансовой выгоды, Head Mare требует выкуп за зашифрованные файлы.

Собственные инструменты. Чтобы получить первоначальный доступ, злоумышленники рассылают фишинговые письма. Письма содержат вредоносный архив, содержащий ложные документы, использующие относительно новую уязвимость CVE-2023-38831 в WinRAR. Если жертва откроет прикрепленный документ, вредоносный файл будет запущен, а на его устройство будет установлено вредоносное ПО — PhantomDL и PhantomCore.

ЧИТАТЬ   Россия ждет отказа от 3G и переноса 5G. Инвестиции в отрасль связи рухнули, ее вклад в ВВП стал самым низким за 30 лет

Виктор Урусов, директор компании «Скалар»: Российские поставщики слишком сильно конкурируют и недостаточно сотрудничают

бизнес

«Лаборатория Касперского» недавно сообщила об увеличении количества атак на российские организации, использующие PhantomDL. Вредоносная программа может использоваться для установки и запуска различных вредоносных утилит, в том числе для удаленного администрирования. Это позволит не только контролировать компьютер жертвы, но и загружать с него файлы на сервер злоумышленников. Собранные данные показывают, что нападения связаны с Хед Маре.

Для защиты от подобных атак специалисты «Лаборатории Касперского» рекомендуют организациям: регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не могли воспользоваться уязвимостями и проникнуть в корпоративную сеть; используйте сложные уникальные пароли для защиты бизнес-аккаунтов и регулярно их обновляйте, а также реализуйте многофакторную аутентификацию; использовать комплексные решения безопасности, такие как Kaspersky Symphony, которые позволят вам создать гибкую и эффективную систему безопасности, включающую обеспечение надежной защиты рабочих мест, выявление и пресечение атак любой сложности на самых ранних стадиях, сбор актуальных данных о кибератаки по всему миру и обучение сотрудников базовым навыкам цифровой грамотности; предоставить сотрудникам службы кибербезопасности возможность доступа к актуальной информации о новейших тактиках, методах и процедурах злоумышленников, например, с помощью служб Threat Intelligence; Регулярно проводите обучение сотрудников, чтобы снизить риск успешных фишинговых атак, например, с помощью онлайн-платформы Kaspersky Automated Security Awareness. Для развития навыков специалистов по информационной безопасности целесообразно повышение квалификации у специалистов «Лаборатории Касперского».

Source

От admin