Эксперты «Лаборатории Касперского» обнаружили новые атаки Andariel, северокорейской кибергруппы, которая входит в состав Lazarus, в них используются модификации известного ПО DTrack, а также новая программа-вымогатель, Maui; в числе целей — крупные организации в США, Японии, Индии, Вьетнаме и России, сообщает ЛК во вторник.
Andariel не фокусируется на каких-то определённых компаниях, для атакующих главное, чтобы у целевой организации было прочное финансовое положение.
Группа ведёт свою деятельность более десяти лет и в 2022 году продолжает расширять свой арсенал вредоносного ПО и географию атак. В июльском отчёте Агентства по кибербезопасности и защите инфраструктуры США сообщается, что Andariel атаковала государственные и медицинские организации посредством вымогателя Maui.
Также злоумышленники используют шпионскую программу DTrack, которая, по данным Kaspersky Threat Attribution Engine, была создана группой Lazarus. Зловред используется для загрузки файлов в системы жертв и скачивания их оттуда, записи нажатия клавиш и проведения других действий, типичных для вредоносного инструмента удалённого администрирования (RAT). DTrack собирает информацию о системе и истории браузера через команды Windows. Злоумышленники могут находиться в целевой сети долгие месяцы, прежде чем начать атаку.
По наблюдениям экспертов «Лаборатории Касперского», вымогатель Maui запускался после внедрения в корпоративную сеть зловреда DTrack и использовался в первую очередь для атак на компании в США и Японии.
«Мы следим за Andariel годами и видим, что их атаки постоянно меняются и усложняются. Стоит обратить внимание на то, что группа распространяет вымогательское ПО по всему миру. Это подтверждает, что деньги по-прежнему остаются мотивацией для участников этой группы», — говорит Мария Наместникова, руководитель российского исследовательского центра «Лаборатории Касперского».
Чтобы защитить бизнес от атак программ-вымогателей, «Лаборатория Касперского» напоминает компаниям о необходимости соблюдать следующие меры:
- не допускать возможность подключения к службам удалённого рабочего стола (таким как RDP) из общественных сетей; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб;
- устанавливать доступные патчи для используемых в компании коммерческих VPN-решений, как только они выходят;
- регулярно обновлять всё ПО, используемое в компании, чтобы программы-вымогатели не могли эксплуатировать уязвимости;
- сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в Интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
- регулярно создавать резервные копии данных и проверять, что к ним можно быстро получить доступ в случае необходимости;
- использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности;
- проводить обучение сотрудников правилам кибербезопасности;
- использовать надёжное защитное решение;
- предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах.
