Эксперты «Лаборатории Касперского» обнаружили новые атаки Andariel, северокорейской кибергруппы, которая входит в состав Lazarus. В них используются модификации известного ПО DTrack, а также новая программа-вымогатель, Maui. В числе целей — крупные организации в США, Японии, Индии, Вьетнаме и России. Andariel не фокусируется на каких-то определённых компаниях, для атакующих главное, чтобы у целевой организации было прочное финансовое положение.
Группа ведёт свою деятельность более десяти лет и в 2022 году продолжает расширять свой арсенал вредоносного ПО и географию атак. В июльском отчёте Агентства по кибербезопасности и защите инфраструктуры США сообщается, что Andariel атаковала государственные и медицинские организации посредством вымогателя Maui.
Также злоумышленники используют шпионскую программу DTrack, которая, по данным Kaspersky Threat Attribution Engine, была создана группой Lazarus. Зловред используется для загрузки файлов в системы жертв и скачивания их оттуда, записи нажатия клавиш и проведения других действий, типичных для вредоносного инструмента удалённого администрирования (RAT). DTrack собирает информацию о системе и истории браузера через команды Windows. Злоумышленники могут находиться в целевой сети долгие месяцы, прежде чем начать атаку.
По наблюдениям экспертов «Лаборатории Касперского», вымогатель Maui запускался после внедрения в корпоративную сеть зловреда DTrack и использовался в первую очередь для атак на компании в США и Японии.
«Мы следим за Andariel годами и видим, что их атаки постоянно меняются и усложняются. Стоит обратить внимание на то, что группа распространяет вымогательское ПО по всему миру. Это подтверждает, что деньги по-прежнему остаются мотивацией для участников этой группы», — говорит Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».
Чтобы защитить бизнес от атак программ-вымогателей, «Лаборатория Касперского» напоминает компаниям о необходимости соблюдать следующие меры:
- не допускать возможность подключения к службам удалённого рабочего стола (таким как RDP) из общественных сетей; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб;
- устанавливать доступные патчи для используемых в компании коммерческих VPN-решений, как только они выходят;
- регулярно обновлять всё ПО, используемое в компании, чтобы программы-вымогатели не могли эксплуатировать уязвимости;
- сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
- регулярно создавать резервные копии данных и проверять, что к ним можно быстро получить доступ в случае необходимости;
- использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности, такие как Kaspersky Symphony XDR: эта платформа содержит в себе в том числе системы обнаружения и реагирования, которые помогут распознавать и останавливать атаки на ранних стадиях, до того как атакующие достигнут своих конечных целей;
- проводить обучение сотрудников правилам кибербезопасности, например с помощью платформы Kaspersky Automated Security Awareness Platform;
- использовать надёжное защитное решение, такое как Kaspersky Endpoint Security для бизнеса, в котором есть функция предотвращения эксплойтов, модуль поведенческого детектирования и возможность отката вредоносных действий. Также в решении есть механизмы самозащиты, которые позволяют исключить возможность его удаления злоумышленниками;
- предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах, например к порталу Kaspersky Threat Intelligence Portal, на котором собраны данные о кибератаках, накопленные за 25 лет работы «Лаборатории Касперского». Свободный доступ к базовым функциям открыт по сcылке https://opentip.kaspersky.com /.