Как установили эксперты по безопасности, во всех случаях злоумышленники действовали через порт удаленного доступа, что позволяло им отключить антивирус практически от любого разработчика. «Одной из функций вредоноса было отключение MiniFilter — технологии фильтрации файловой системы в Windows», — отмечают в Solar. Данная функция используется для сбора информации об операциях с файловой системой, а также обнаружения необычного поведения и анализа потенциальных угроз.
Российские хакеры научились отключать антивирусы: как от них защититься
Преступники действуют через брешь в программах для удаленного доступа.
Unsplash
В России начала действовать новая хакерская группировка, которая при атаках отключает антивирусное программное обеспечение. Для этого злоумышленники используют уязвимость, которая позволяет им получить удаленный доступ к компьютеру и загрузить вредоносный софт. О том, откуда взялась эта брешь и как работают киберпреступники, рассказала газета «Известия».
Атаки новой группировки распознали эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». По их данным, пока жертвами взломов становились отечественные компании. Хакеры проникали в их корпоративные сети через «дыру» в программном обеспечении под названием DameWare Mini Remote Control — этот софт используется для удаленного управления рабочим местом и получил распространение еще во времена пандемии COVID-19.
По словам специалистов, хакеры в ходе нападений при помощи вредоносных драйверов создавали и регистрировали собственный MiniFilter антивируса, а затем заменяли его фиктивной «заглушкой». Это фактически блокировало способность ПО мониторить операции в системе. Сами злоумышленники получали возможность загружать любой вредоносный софт.
Гендиректор компании «Нейроинформ» Александр Дмитриев отмечает, что впервые аналогичные методы стали использоваться еще в 2019 году. В основном жертвами становились компании, которые хотели сэкономить на безопасности. Когда из-за пандемии многие перешли на удаленку, эти фирмы оказались не готовы к тому, чтобы максимально обезопасить свою инфраструктуру.
Чаще всего хакеры, действующие подобными методами, загружают на компьютер вирусы-шифраторы, которые блокируют пользователю доступ к его содержимому. Вымогатели оставляют жертве свои контакты, чтобы она могла оплатить «выкуп» и получить ключ расшифровки.
Миллионы компьютеров под угрозой: хакеры могут получить доступ к данным из-за уязвимости видеокарт Nvidia
Данные миллионов россиян в опасности? Хакеры заявили, что взломали Росреестр и выкачали оттуда все данные
Хакеры научились взламывать смартфоны голосовым сообщением: какие модели в группе риска
Данные миллионов россиян в опасности? Хакеры заявили, что взломали Росреестр и выкачали оттуда все данные
Хакеры научились взламывать смартфоны голосовым сообщением: какие модели в группе риска
Чтобы обезопасить свой компьютер от подобных атак, эксперты рекомендуют своевременно и регулярно проводить обновление операционной системы, а также загружать новейшие версии антивирусного ПО. При этом при использовании программ для удаленного доступа важно убедиться, что такой софт надежен и грамотно настроен, а также по умолчанию разработан таким образом, что потенциальные угрозы исключают вероятность взлома. Доверять настройку подобных инструментов лучше всего опытному системному администратору.