​​19 октября 2021 в 14:00 по МСК на бесплатном вебинаре эксперты центра противодействия кибератакам Solar JSOC расскажут:
• какие уязвимости наиболее распространены в российских компаниях
• какое ВПО чаще всего используют киберпреступники
• как обеспечить надежную защиту организации

На вебинаре вы узнаете:
• С какими уязвимостями и ВПО чаще всего сталкивалась команда Solar JSOC CERT с начала 2020 года
• Какие критичные недостатки и уязвимости больше всего распространены в информационных системах
• Почему проведения разовых работ по тестированию и анализу защищенности недостаточно
• Что советуют эксперты Solar JSOC для повышения уровня защищенности и профилактики взлома

Вебинар будет полезен руководителям и специалистам IT- и ИБ-отделов крупных и средних организаций из различных отраслей.

Продолжительность вебинара ≈ 1,5 часа.

Участие в вебинаре бесплатное. Необходима регистрация.

​​Пожалуй, закончим неделю на прекрасной ноте: эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов - программ, позволяющих скрыть в системе присутствие ВПО или следы пребывания злоумышленников.

Руткиты, особенно работающие в режиме ядра, очень сложны в разработке, поэтому их используют либо высококвалифицированные APT, которые обладают нужными навыками, либо группы, чьи финансовые возможности позволяют купить руткиты на теневом рынке. Это могут быть как финансово мотивированные преступники, которые похищают крупные суммы денег, так и группировки, добывающие информацию и совершающие разрушительные действия в инфраструктуре жертвы в интересах заказчиков.

Неудивительно, что инциденты с обнаружением руткитов, как правило, отсылают к громким атакам с резонансными последствиями, поскольку зачастую они являются частью многофункционального вредоносного ПО, которое перехватывает сетевой трафик, шпионит за пользователями, похищает сведения для аутентификации или использует ресурсы жертв для проведения DDoS-атак. Все помним, легендарный Stuxnet, задействовавшийся по теме ядерной программы Ирана.

Согласно полученным данным, в 44% случаев злоумышленники использовали руткиты в атаках на госучреждения. Чуть реже (38% случаев) эти вредоносы применялись для атак на исследовательские институты.

В топ-5 наиболее атакуемых посредством руткитов отраслей по итогам исследования также вошли телеком (25%), промышленность (19%) и финансовые организации (19%). Помимо этого, более половины руткитов (56%) используются хакерами в атаках на частных лиц. Главным образом, это таргетированные атаки в рамках кампаний по кибершпионажу в отношении высокопоставленных чиновников, дипломатов и сотрудников целевых организаций.

В 77% случаев руткиты использовались злоумышленниками для шпионажа, примерно в трети случаев (31%) для извлечения финансовой выгоды, и лишь в 15% атак эксперты отметили мотив эксплуатации инфраструктуры компании-жертвы для проведения последующих атак.

В даркнете представлены, в основном, руткитов пользовательского уровня под массовку. Стоимость руткита варьируется от 45 до 100 000 долларов США и зависит от условий и дополнительных функций (чаще всего запрашивают получение удаленного доступа и сокрытие файлов, процессов и сетевой активности). В некоторых случаях разработчики предлагают доработку руткита под нужды заказчика и оказывают сервисное сопровождение.

Большая часть предлагаемого товара заточена под Windows (почти 67% всех предложений). Это коррелирует с результатами исследования: доля таких образцов в выборке вредоносов, изученных Positive Technologies, также превалирует, составляя 69%.

По оценкам исследователей, разработки malware таких типов будут только расти и усложняться. Ожидается, что руткиты продолжат работать, прежде всего, в интересах APT для сокрытия сложных целевых атак под различные тактические (шпионаж) или стратегические (деструктивное воздействие на инфраструктуру) задачи.

Можно много чего еще рассказать интересного из отчета, но лучше Positive Technologies, определенно, никто точно не сделает, так что к прочтению настоятельно рекомендуем.