IaaS

По запросу

ЦОД Tier III

ФЗ-152 УЗ-1 К1 и Г1 ФЗ-187

Корпоративные мессенджеры

от 250 руб/мес

Защищенная платформа

коммуникаций

IaaS

от 490руб./мес

VMware / ПО РФ

SLA 99,95% Pay-as-you-go

BPM

от 12 000 руб/год

Цифровые процессы

с комфортом для людей

Low-code

от 667 руб.

Цифровая трансформация

с ELMA365

Корпоративные мессенджеры

От 200 руб/мес

Передовое

решение

IaaS

По

Облако VMware/Брест

ФЗ-152, SLA 99,99%

  • Корпоративные мессенджеры

    от 250 руб/мес

    Защищенная платформа

    коммуникаций

  • IaaS

    от 490руб./мес

    VMware / ПО РФ

    SLA 99,95% Pay-as-you-go

  • BPM

    от 12 000 руб/год

    Цифровые процессы

    с комфортом для людей

  • Low-code

    от 667 руб.

    Цифровая трансформация

    с ELMA365

  • Корпоративные мессенджеры

    От 200 руб/мес

    Передовое

    решение

  • IaaS

    По

    Облако VMware/Брест

    ФЗ-152, SLA 99,99%

  • HRM

    от 0 руб.

    Готовая HRM

    от ФАКТ

  • HRM

    от 8500 руб.

    HCM-платформа

    для автоматизации HR

  • ВКС

    от 250 руб/мес

    Платформа корпоративных

    коммуникаций

HRM

от 0 руб.

Готовая HRM

от ФАКТ

HRM

от 8500 руб.

HCM-платформа

для автоматизации HR

ВКС

от 250 руб/мес

Платформа корпоративных

коммуникаций

IP-телефония

от 0 руб.

Продуманная связь

для вашего бизнеса

IaaS

от 249,95 руб.

Для любых задач

Оплата pay-as-you-go

IBP

по запросу

Универсальная CPM/EPM

self-service платформа

«Лаборатория Касперского» раскрыла подробности зафиксированных в начале 2020 года целевых атак

Безопасность Администратору Стратегия безопасности Маркет
Тогда жертвами APT-атак стали в том числе поставщики оборудования и программного обеспечения для промышленных предприятий

По данным экспертов Kaspersky ICS CERT, целями серии таргетированных атак, которую специалисты наблюдают с начала 2020 г., стали в том числе поставщики оборудования и программного обеспечения для промышленных предприятий. К настоящему времени известны случаи атак на системы в Японии, Италии, Германии и Великобритании. Злоумышленники используют вредоносные документы Microsoft Office, Powershell-скрипты. Также различные техники, затрудняющие детектирование и анализ вредоносного ПО, включая стеганографию — технологию, которая позволяет скрыть факт передачи вредоносного ПО внутри изображения.

В выявленных случаях в качестве начального вектора атаки используются фишинговые письма с текстом на том языке, на котором говорят в стране, где расположена компания-жертва. Используемая вредоносная программа выполняется только в том случае, если операционная система имеет локализацию, соответствующую языку, на котором написано фишинговое письмо. Например, в случае атаки на компанию из Японии текст фишингового письма и документ Microsoft Office, содержащий вредоносный макрос, написаны на японском, а для успешной расшифровки модуля вредоносной программы операционная система должна иметь японскую локализацию.

Кроме того, злоумышленники использовали утилиту Mimikatz, чтобы украсть данные учетных записей Windows, принадлежащих сотрудникам атакованных предприятий. С помощью этой информации можно получить доступ к другим системам внутри корпоративной сети, в том числе к аккаунтам, которые имеют права администратора домена. Далее злоумышленники могут развивать атаку внутри сети предприятия.

Во всех обнаруженных случаях вредоносное ПО было заблокировано решениями «Лаборатории Касперского», конечная цель злоумышленников остается неизвестной. Эксперты Kaspersky ICS CERT продолжают отслеживать новые похожие атаки и просят сообщать о подобных случаях с помощью специальной формы на сайте «Лаборатории Касперского».

«Мы обратили внимание на эту атаку из-за нескольких нестандартных технических решений. Например, вредоносный модуль закодирован при помощи методов стеганографии внутри изображения, которое размещено на легитимных веб-ресурсах. Соответственно, обнаружить загрузку такого вредоносного ПО при помощи средств мониторинга и контроля сетевого трафика практически невозможно, ведь с точки зрения технических решений такая активность не отличается от обычного обращения к легитимному хостингу изображений. Также злоумышленники намеренно добавили в программный код ошибку, которая делает вредоносную программу работоспособной только на системах с определенной локализацией. Применение таких техник, а также тот факт, что атаки имеют точечный характер, указывают на то, что речь идет о сложной целевой атаке, а то, что среди ее целей поставщики промышленных компаний, вызывает беспокойство. Если логины и пароли сотрудников компании-подрядчика попадают в руки злоумышленников, последствий может быть очень много — от кражи конфиденциальных данных до атак на промышленные предприятия с помощью, например, удаленных инструментов администрирования, используемых подрядчиком», — сказал Вячеслав Копейцев, эксперт «Лаборатории Касперского».

«Атака еще раз подтверждает, что для организаций в энергетике критически важно обеспечивать защиту рабочих станций и серверов как в корпоративных, так и технологических сегментах сети. Для предотвращения подобных заражений достаточно надежной защиты конечных устройств, но мы рекомендуем использовать комплексный подход. Атаки через подрядчиков и поставщиков могут иметь совершенно разные точки входа внутри предприятия, включая те, которые расположены внутри технологической сети. Цели злоумышленников нам точно неизвестны, но в таких случаях правильнее предположить, что они могли получить доступ к критическим системам предприятия. Чтобы своевременно распознавать сигналы атак на системы технологической сети и первичное оборудование объекта и предотвращать возможные инциденты, следует использовать современные средства сетевого мониторинга, выявления аномалий и детектирования атак», — отметил Антон Шипулин, руководитель направления по развитию решений для безопасности критической инфраструктуры «Лаборатории Касперского».

«Лаборатория Касперского» рекомендует промышленным предприятия для снижения риска стать жертвой целевой атаки: проводить обучение сотрудников навыкам безопасной работы с почтой и, в частности, распознавания фишинговых писем; ограничить выполнение макросов в документах Microsoft Office и, если возможно, выполнение Powershell-скриптов; особое внимание обращать на события запуска процессов Powershell, инициированные приложениями Microsoft Office; по возможности ограничить получение программами привилегий SeDebugPrivilege; установить решение для защиты конечных устройств с возможностью централизованного управления политикой безопасности и поддержки в актуальном состоянии антивирусных баз и программных модулей защитных решений, например, Kaspersky Endpoint Security для бизнеса; установить защитное решение для OT-сетей, такое как KICS for Networks, чтобы обеспечить всестороннюю защиту всех критических промышленных систем; использовать учетные записи пользователей с правами доменного администратора только при необходимости, а после их использования перезапускать систему, на которой была выполнена аутентификация; внедрить парольную политику с требованиями к уровню сложности и регулярной смене пароля; в случае подозрения на заражение систем выполнить проверку антивирусным ПО и принудительную смену паролей для всех аккаунтов, которые использовались для входа на скомпрометированных системах.

Короткая ссылка