Призрачный майнер атакует корпоративные сети

07-08-2018 12:00:30   | Армения  |  Пресс-релизы
Эксперты «Лаборатории Касперского» обнаружили майнер, нацеленный в первую очередь на корпоративные сети. Зловред PowerGhost — бесфайловый, что позволяет ему незаметно закрепляться на рабочей станции или сервере жертвы. «Лаборатория Касперского» больше всего атак зафиксировала в Индии, Турции, Бразилии и Колумбии.
 

Проникнув в инфраструктуру компании, PowerGhost пытается авторизоваться в учетные записи пользователей сети через легитимный инструмент удаленного администрирования Windows Management Instrumentation (WMI). Необходимые для входа логины и пароли зловред добывает с помощью встроенного инструмента для извлечения данных — Mimikatz. Кроме того, майнер может распространяться через эксплойт EternalBlue для Windows, который использовали авторы WannaCry и ExPetr. Теоретически эта уязвимость уже больше года как закрыта. Но на практике почему-то продолжает работать.
 
Попав на устройство, зловред пытается повысить свои привилегии, воспользовавшись несколькими уязвимостями ОС (с техническими подробностями можно ознакомиться здесь). После этого майнер закрепляется в системе и начинает добывать криптовалюту для своих хозяев.
 
Как и любой майнер, PowerGhost использует ресурсы оборудования пользователя для генерации криптовалюты. Это, с одной стороны, снижает производительность серверов и других устройств, а с другой — значительно ускоряет их износ, что влечет за собой дополнительные расходы на замену аппаратуры.
 
Однако по сравнению с большинством подобных программ PowerGhost сложнее обнаружить, поскольку он не загружает на устройство вредоносные файлы. А значит, он способен дольше проработать незамеченным на сервере или рабочей станции компании и нанести больший урон.
 
Кроме того, в одной из версий зловреда эксперты «Лаборатории Касперского» обнаружили инструмент для DDoS-атак. Использование серверов компании для бомбардировки другой жертвы может плохо сказаться на их доступности, затормозить или даже парализовать производственный процесс.  Интересно, что зловред умеет проверять, запускается он в настоящей ОС или в «песочнице» — это позволяет ему обходить стандартные защитные решения.
 
Чтобы обезопасить оборудование от атаки PowerGhost и аналогичных зловредов, необходимо тщательно следить за безопасностью корпоративных сетей, следуя советам эксперта по кибербезопасности, территориального представителя «Лаборатории Касперского» в Армении и Грузии Армена Карапетяна:
 
 
Не пропускайте обновления программного обеспечения и операционных систем. Все уязвимости, которые использует этот майнер, уже давно закрыты производителями. Вирусописатели в принципе основывают свои разработки на эксплойтах к давно исправленным уязвимостям.
 
Повышайте компетентность сотрудников. Помните, что многие киберинциденты происходят по вине человеческого фактора.
 
Используйте на рабочем оборудовании надежные защитные решения, в которые входят технологии поведенческого анализа — бесфайловые угрозы иначе не поймать. Продукты «Лаборатории Касперского» для бизнеса распознают как сам PowerGhost, так и отдельные его компоненты, а также многие другие вредоносные программы, в том числе неизвестные ранее.
 
 
Представительство компании «Лаборатория Касперского» в Армении
  -   Пресс-релизы
Новости Армении и Диаспоры - Ноян Тапан (www.nt.am)

Прочитано 222 раз

 
Noyan Tapan - Նոյյան տապան
Facebook Group · 3 365 անդամ
Միանալ խմբին