Материалы по тегу: лаборатория касперского

24.11.2020 [16:01], Андрей Крупин

«Лаборатория Касперского» рассказала о ландшафте сложных угроз в 2021 году

Исследовательский центр «Лаборатории Касперского» Global Research and Analysis Team рассказал о тенденциях в области сложных атак, которые, как ожидается, будут актуальны в наступающем году.

Одним из ключевых и наиболее опасных трендов эксперты называют покупку APT-группами ресурсов для первичного проникновения в сеть жертвы у других злоумышленников. Так, в 2020 году «Лабораторией Касперского» было зафиксировано большое количество целевых атак программ-вымогателей, начинавшихся с того, что киберпреступники закреплялись в IT-инфраструктуре предприятий с помощью обычного, не узкоспециализированного вредоносного ПО. Исследователи полагают, что атакующие продолжат применять такие схемы при проведении сложных целевых кампаний.

Эксперты прогнозируют, что в 2021 году правительства разных стран всё чаще будут громко заявлять о причастности конкретной группы к той или иной атаке. Раскрытие информации о кибероружии через официальные каналы правительственных организаций позволит активнее бороться с кампаниями кибершпионажа, поскольку рассекреченные инструменты использовать сложнее. Также, по мнению аналитиков Global Research and Analysis Team, в наступающем году ожидается всплеск судебных преследований компаний-брокеров, торгующих эксплойтами нулевого дня, при этом сами злоумышленники всё чаще будут акцентировать внимание на взломе сетевых устройств и поиске уязвимостей в технологии 5G. Дальнейшее развитие получат программы-шифровальщики, блокирующие доступ к данным и требующие выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации. Кроме того, киберпреступники продолжат наживаться на пандемии COVID-19.

Более подробно узнать о том, какие тенденции в области сложных атак будут, по мнению команды Global Research and Analysis Team, актуальны в 2021 году, можно по ссылке securelist.ru/apt-predictions-for-2021.

Постоянный URL: http://servernews.ru/1026171
26.10.2020 [15:15], Андрей Крупин

ФСТЭК России сертифицировала песочницу Kaspersky Sandbox

«Лаборатория Касперского» сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на программный комплекс Kaspersky Sandbox.

Kaspersky Sandbox автоматически анализирует новые подозрительные файлы, попадающие в корпоративную сеть, и отправляет вердикт об их безопасности или вредоносности в системы защиты конечных устройств. Проверка файлов осуществляется на виртуальной машине, оснащённой инструментами для эмуляции типичной рабочей среды (операционной системы с приложениями). Чтобы определить, является ли объект вредоносным, проводится поведенческий анализ, сбор и обработка артефактов. Если объект совершает вредоносные действия, Kaspersky Sandbox классифицирует его как вредоносное ПО.

Выданный ФСТЭК России сертификат позволяет использовать Kaspersky Sandbox в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), автоматизированных системах управления технологическими процессами (АСУ ТП) до первого уровня защищённости включительно, а также в информационных системах общего пользования (ИСОП) второго класса.

Kaspersky Sandbox поставляется в виде ISO-образа с предварительно настроенной операционной системой CentOS 7 и всеми необходимыми защитными компонентами. Решение можно развернуть как на физическом сервере, так и в виртуальном окружении на базе VMware ESXi. Для интеграции с другими защитными комплексами в Kaspersky Sandbox реализован API.

Постоянный URL: http://servernews.ru/1023827
02.10.2020 [08:57], Андрей Крупин

«Лаборатория Касперского»: российские SMB-компании вдвое увеличили расходы на кибербезопасность

Во время пандемии коронавируса отечественные организации сегмента малого и среднего бизнеса (SMB) существенно увеличили расходы на обеспечение защиты своей IT-инфраструктуры. Об этом свидетельствует проведённое «Лабораторией Касперского» исследование.

По данным опроса «Лаборатории Касперского», за последние 12 месяцев российские SMB-компании в среднем потратили на обеспечение безопасности корпоративного периметра 4,7 миллионов рублей каждая — это почти в два раза больше, чем за аналогичный период годом ранее (2,4 млн рублей). При этом одним из главных драйверов инвестиций в IT-безопасность стала потребность бизнеса повышать киберграмотность сотрудников — больше 40 % участников опроса сказали, что для их организации определяющей стала именно эта причина.

Источник фото: intel.com

Источник фото: intel.com

Исследование также показало, что для 70 % отечественных компаний малого и среднего бизнеса вопрос защиты данных является главной проблемой, связанной с кибербезопасностью. Ещё 59 % обеспокоены недостаточной осведомлённостью штата на тему ИБ и 43 % — стоимостью обеспечения безопасности сложных технических сред. Каждый пятый респондент отметил, что решение вложить деньги в усиление IT-безопасности было принято киберинцидента внутри организации, в том числе после случаев утечки данных. В 2020 году средняя цена потери от утечки данных для небольшой организации составила 1,9 млн рублей.

Подробнее с результатами аналитического исследования «Лаборатории Касперского» можно ознакомиться на сайте kaspersky.ru.

Постоянный URL: http://servernews.ru/1022021
11.09.2020 [00:29], Владимир Мироненко

Серверы и рабочие станции на Linux — следующая цель хакеров

В связи с ростом популярности платформ с открытым исходным кодом, исследователи «Лаборатории Касперского» предупреждают, что хакеры всё чаще атакуют устройства на базе Linux с помощью инструментов, специально разработанных для использования уязвимостей в платформе.

Windows по-прежнему чаще является объектом массовых атак вредоносного ПО. Но есть и другие примеры, когда дело доходит до сложных угроз (APT), и когда атакующий — зачастую спонсируемая государством группа хакеров — налаживает длительное присутствие в сети.

По словам «Лаборатории Касперского», эти злоумышленники всё больше диверсифицируют свои арсеналы, добавляя инструменты для взлома Linux, расширяя тем самым перечень систем, на которые они могут нацеливаться. Многие организации выбирают Linux для стратегически важных серверов и систем. В связи со «значительной тенденцией» к использованию Linux в качестве десктопной платформы крупными предприятиями, а также государственными органами, злоумышленники, в свою очередь, разрабатывают всё больше вредоносных программ для этой платформы.

«Тенденция к совершенствованию наборов инструментов APT в прошлом неоднократно фиксировалась нашими экспертами, и инструменты, ориентированные на Linux, не являются исключением», — отметил Юрий Наместников, руководитель группы глобальных исследований и анализа «Лаборатории Касперского» в России. «Стремясь защитить свои системы, ИТ-отделы и отделы безопасности используют Linux чаще, чем раньше. Злоумышленники реагируют на это созданием сложных инструментов, способных проникнуть в такие системы», — добавил он.

По данным «Лаборатории Касперского», более десятка APT-атакующих использовали вредоносные программы для Linux или некоторые модули на базе Linux. В их числе вредоносные программы LightSpy и WellMess, обе нацелены на устройства на Windows и Linux. Также было обнаружено, что вредоносное ПО LightSpy позволяет атаковать устройства на iOS и Mac. Хотя целевые атаки на системы на базе Linux по-прежнему редки, для желающих их произвести имеется целый набор веб-шеллов, бэкдоров, руткитов и пользовательских эксплойтов.

Аналитики также предположили, что небольшое количество зарегистрированных атак не отражает степень опасности, которую они представляют, указав, что компрометация отдельного сервера на Linux «часто приводит к серьёзным последствиям», поскольку вредоносное ПО распространялось по сети на конечные точки под управлением Windows или macOS, «тем самым обеспечивая более широкий доступ для злоумышленников, который может остаться незамеченным».

Например, влиятельная русскоязычная группа хакеров Turla за последние годы значительно усовершенствовала свой набор инструментов, включив использование бэкдоров Linux. По словам «Лаборатории Касперского», новая модификация бэкдора Penguin x64 Linux, о которой сообщалось ранее в 2020 году, уже затронула десятки серверов в Европе и США.

Ещё один пример — северокорейская APT-группировка Lazarus, которая продолжает диверсифицировать свой набор инструментов и разрабатывать вредоносное ПО не только для Windows, но и для других операционных систем. «Лаборатория Касперского» недавно сообщила о мультиплатформенном вредоносном фрейворке MATA, который использует Lazarus, а в июне 2020 года исследователи проанализировали новые образцы, связанные с операциями Operation AppleJeus и TangoDaiwbo, запущенными в финансовых и шпионских целях. Изученные образцы включали вредоносное ПО для Linux.

Для снижения риска того, что системы на Linux станут жертвами атак, рекомендуется принять ряд мер, включая такие простые шаги, как обеспечение правильной настройки брандмауэров и блокирование неиспользуемых портов, автоматизация обновлений безопасности и использование специального решения безопасности с защитой Linux.

Организации должны дополнительно вести учёт надёжных источников программного обеспечения и избегать использования незашифрованных каналов обновления; применять SSH-аутентификацию на основе ключей и защищать ключи паролями; использовать двухфакторную аутентификацию и применять аппаратные токены. Также следует избегать запуска бинарников и скриптов из ненадёжных источников.

«Мы советуем специалистам по кибербезопасности учитывать эту тенденцию и внедрять дополнительные меры для защиты своих серверов и рабочих станций», — сообщил Наместников.

Постоянный URL: http://servernews.ru/1020360
07.08.2020 [18:12], Андрей Крупин

Хакеры переключились на использование легитимных инструментов удалённого управления и администрирования

Киберпреступные группировки стали активно применять для взлома корпоративных сетей широко используемые в профессиональной среде инструменты удалённого управления и администрирования. Об этом свидетельствуют данные «Лаборатории Касперского», подчёркивающей, что таким образом злоумышленники пытаются скрывать следы своей деятельности.

Так, в почти трети инцидентов (30%), к расследованию которых привлекались эксперты компании в 2019 году, было задействовано легитимное ПО, предназначенное для выполнения задач системного администрирования и диагностики. Самый распространённый инструмент — PowerShell — применялся в каждой четвёртой атаке. В 22% случаев хакерами использовалась утилита PsExec, предназначенная для запуска программ на удалённых компьютерах. Замыкает топ-3 инструмент SoftPerfect Network Scanner, применяемый для сканирования сетей. Он использовался в 14% атак.

«Применение злоумышленниками легитимных инструментов усложняет процесс обнаружения их деятельности, ведь с помощью подобного ПО могут выполняться и рядовые задачи, и несанкционированные действия», — говорится в исследовании «Лаборатории Касперского».

Чтобы минимизировать вероятность использования легитимных инструментов для совершения кибератак, «Лаборатория Касперского» рекомендует:

  • ограничить доступ к инструментам удалённого управления с внешних IP-адресов и убедиться в том, что использование подобного рода решений может быть осуществлено с ограниченного количества конечных устройств;
  • ввести строгую политику паролей для всех IT-систем и мультифакторную аутентификацию;
  • предоставлять учётные записи с высокими привилегиями только тем пользователям, которым они действительно нужны для выполнения рабочих задач.
Постоянный URL: http://servernews.ru/1017725
07.07.2020 [14:38], Андрей Крупин

«Лаборатория Касперского» выпустила интегрированное решение для защиты рабочих мест

«Лаборатория Касперского» сообщила о расширении линейки бизнес-продуктов и выпуске интегрированного решения для защиты рабочих станций в корпоративной среде.

Особенностью представленного продукта является сочетание нескольких многоуровневых средств защиты. В состав решения включены инструменты Kaspersky Security для бизнеса, песочница Kaspersky Sandbox для изучения подозрительных объектов в изолированной среде и приложение Kaspersky Endpoint Detection and Response Optimum, дополняющее традиционную защиту рабочих мест, предоставляющее улучшенный обзор происходящего в IT-инфраструктуре организации и возможности проведения анализа первопричин инцидента. Все три продукта управляются из единой облачной консоли и дополняют друг друга, обеспечивая комплексную защиту от сложных угроз.

«Злоумышленники всё чаще выбирают в качестве жертв не только крупные организации, но и компании поменьше, поскольку инструменты для проведения целевых атак становятся всё более доступны. Именно поэтому мы объединили сразу несколько технологий, чтобы предоставить наиболее эффективную и многослойную защиту корпоративным рабочим станциям. Фундаментом решения является Kaspersky Security для бизнеса, который обеспечивает защиту от традиционных угроз. Автоматизированная песочница Kaspersky Sandbox позволяет противодействовать атакующим, действия которых направлены на обход средств защиты конечных точек. И, наконец, приложение Kaspersky EDR Optimum предоставляет возможности для определения масштаба сложных инцидентов, их расследования и автоматизированного реагирования на них. Все эти инструменты объединены в интегрированное решение, позволяющее обеспечить широкий круг организаций защитой от сложных угроз, которая не требует дополнительных ресурсов и знаний экспертного уровня», - говорится в заявлении «Лаборатории Касперского».

Дополнительные сведения о новом интегрированном решении «Лаборатории Касперского» для защиты рабочих мест можно найти на сайте kaspersky.ru.

Постоянный URL: http://servernews.ru/1015109
09.06.2020 [21:23], Алексей Степин

Хакеры активно преодолевают «воздушные зазоры»: отсутствие сетевого соединения не может защитить на 100%

Обратная сторона удобства сетей — потенциальная уязвимость, которая может вылиться в очень крупные проблемы, если атаке подвергаются управляющие компьютеры важных объектов, производств и систем жизнеобеспечения. Для защиты применяют так называемый «воздушный зазор» (air gap), когда управляющие ИТ-системы не имеют физической связи с сетями общего назначения. Однако и это не является стопроцентной гарантией от взлома либо утечки ценных данных.

Базовые механизмы работы трёх версий Ramsay

Базовые механизмы работы трёх версий Ramsay

Одной из самых известных кибератак похожего типа можно назвать Stuxnet — одноимённый «червь» попал в систему, которая доступа в Интернет не имела. С тех пор идея «воздушного зазора» стала ещё более популярной. Однако и она не гарантирует стопроцентной защиты. ESET обнаружила группу хакеров, работающую над созданием вредоносных программ, способных преодолевать «зазоры» между сетями. Кроме того, совсем недавно аналогичную атаку, но уже со стороны китайских хакеров, зафиксировала и Лаборатория Касперского.

Червь ищет документы Word и добавляет себя к ним

Червь ищет документы Word и добавляет себя к ним

Идея обхода «зазора» довольно проста — даже изолированные сети вынуждены как-то общаться друг с другом, пусть даже с помощью физических носителей данных. Так в своё время и поступили те, кто атаковал иранскую ядерную программу. Меры безопасности в пост-Stuxnet эпоху серьёзно возросли, все накопители в таких системах тщательно проверяются. Но вредоносный код не обязательно должен существовать сам по себе, его могут «подвезти» файлы и устройства, не попадающие под подозрение.

История Ramsay

История Ramsay

Новый червь носит имя Ramsay, ему достаточно оказаться с любой стороны «воздушного зазора», после чего он начнёт заражать все обнаруженные им системы. «Рэмзи» существует, как минимум, в трёх вариациях: версии 1 и 2.b использует уязвимость в .doc (CVE-2017-0199), .rtf (CVE-2017-11882) и механизмы Visual Basic, интегрированные в Word. Версия 2.a рассчитана на применение «отвлекающего инсталлятора». Червь в итоге маскируется под ряд dll-файлов и инъецирует себя в запущенные процессы, минуя UAC.

Структура контейнера Ramsay

Структура контейнера Ramsay

Серьёзных массовых случаев заражения Ramsay пока не отмечено, однако ESET подтверждает существование продвинутой группы кибершпионажа, которая активно работает над развитием данного проекта. Червь весьма непрост: пропустив момент первоначального заражения, вы рискуете уже никогда не поймать его — настолько ловко он маскируется. Компания рекомендует всем, кто опасается за ценные данные, уделять повышенное внимание съёмным накопителям, которые применяются для переноса данных через «воздушный зазор». Подробности о новом черве можно прочесть в отчёте ESET.

Механика работы BlueCore и RedCore

Механика работы BlueCore и RedCore

Как уже было сказано, идея преодоления «зазора» сама по себе проста, сложна лишь её техническая реализация. К сожалению, этой идеей уже успели воспользоваться не только создатели Ramsay. Как отмечает Лаборатория Касперского, китайская группа «Goblin Panda and Conimes» (она же «Cycldeck»), активная уже в течение семи лет, атакует правительственные сети государств юго-востока Азии, в частности, Вьетнам, Лаос и Тайланд. Основная цель — сети дипломатических и государственных организаций.

Механизмы, реализованные во вредоносном ПО этой группы, также эксплуатируют уязвимости Microsoft Office: CVE-2012-0158, CVE-2017-11882 и CVE-2018-0802. Активность китайских хакеров явно делится на два кластера, поскольку обнаружено два варианта ПО, условно названных BlueCore и RedCore. Оба варианта маскируются под dll-файлы популярных антивирусных программ, но RedCore обладает дополнительной функциональностью — она содержит кейлоггер, логгер сессий RDP, прокси-сервер и идентификатор присутствующих в системе устройств.

Статистика активности BlueCore и RedCore согласно данным Лаборатории Касперского

Статистика активности BlueCore и RedCore согласно данным Лаборатории Касперского

Важной частью BlueCore и RedCore является программа USBCulprit, способная сканировать системы жертв, собирать заданные атакующими документы (форматы .pdf, .doc, .wps, docx, ppt, .xls, .xlsx, .pptx и .rtf, копировать их на USB-носители, а также запускать с этих носителей различные исполняемые файлы. Этим функциональность не ограничивается: черви авторства «Cycldeck» имеют множество модулей и могут похищать информацию прямо из браузеров на движке Chromium, включая списки паролей. Подробности можно узнать на сайте SecureList.

Группа китайских хакеров маскируется под маргинальную, однако используемый ими профессиональный инструментарий говорит о серьёзном уровне подготовки; впрочем, остаётся открытым вопрос о том, работают ли они на правительство КНР.

Постоянный URL: http://servernews.ru/1013018
14.04.2020 [12:08], Андрей Крупин

«Лаборатория Касперского» запустила бесплатный курс по IT-безопасности во время пандемии

«Лаборатория Касперского» в рамках программы повышения цифровой грамотности Kaspersky Security Awareness разработала бесплатный онлайн-курс «Безопасность во время пандемии COVID-19 в жизни и бизнесе».

Курс построен на базе адаптивной системы обучения Area9 Rhapsode и предназначен для тех, кто работает удалённо или будет вынужден в ближайшее время перейти на работу в дистанционном режиме.

Образовательная программа состоит из двух частей. Первая посвящена физической безопасности во время текущей пандемии и рассказывает о том, какую угрозу несёт COVID-19, как следует себя вести, чтобы минимизировать риск заболеть самому или заразить коллег. Этот урок также содержит информацию о способах профилактики заболевания и стереотипах, связанных с группой коронавирусных инфекций. Вторая часть курса помогает безопасно адаптироваться к удалённой работе и повысить киберграмотность в условиях оторванности от офиса и привычной помощи IT-служб на рабочем месте. Продолжительность занятий составляет 30 минут.

Бесплатный курс «Безопасность во время пандемии в жизни и бизнесе» доступен на русском и английском языках. Пройти обучение можно по ссылке kas.pr/free-course.

Постоянный URL: http://servernews.ru/1008375
01.04.2020 [21:02], Андрей Крупин

KasperskyOS задействовали для обработки данных в промышленной сфере

Научно-производственное объединение «Адаптивные промышленные технологии», являющееся дочерним предприятием «Лаборатории Касперского» и компании «Итэлма», разработало программно-аппаратный комплекс IKS1000GP, предназначенный для сбора и обработки «сырых» промышленных данных.

Продукт представляет собой шлюз индустриального Интернета вещей (IIoT Gateway). Решение создано на базе защищённой операционной системы KasperskyOS и оборудования Siemens Simatic IoT2040.

Комплекс IKS1000GP получает информацию от промышленного оборудования, включая станки, конвейеры, двигатели и турбины. Далее он в режиме реального времени агрегирует потоки данных и подготавливает их к использованию IIoT-платформами. Важным преимуществом шлюза является возможность безопасно передавать промышленные данные на удалённую площадку предприятия. Таким образом, сводятся к минимуму действия человека в производственном контуре, а экспертная оценка данных (интерпретация сложных событий, выявление скрытых закономерностей и аномалий и так далее) может проводиться в онлайн-режиме небольшой группой специалистов или с помощью технологий машинного обучения.

«При соединении промышленного оборудования с платформами аналитической обработки или IIoT-платформами важно не допустить подмены данных. Это может как повлечь ошибочные решения, так и создать риск нелегитимного доступа к физическому оборудованию. Сегодня большое количество связанных между собой датчиков и контроллеров, которые производят поток промышленных данных, невозможно защитить наложенными решениями для обеспечения кибербезопасности. Именно поэтому шлюз создан на базе KasperskyOS — безопасной операционной системы, которая работает только в соответствии с разрешёнными правилами использования промышленных данных и запрещает все остальные действия», — отметил Евгений Касперский, генеральный директор «Лаборатории Касперского».

KasperskyOS создана с нуля и в силу своей архитектуры гарантирует высокий уровень информационной безопасности. Основной принцип работы ОС сводится к правилу «запрещено всё, что не разрешено». Это позволяет исключить возможность эксплуатирования как уже известных уязвимостей, так и тех, что будут обнаружены в будущем. При этом все политики безопасности, в том числе запреты на выполнение определённых процессов и действий, настраиваются в соответствии с потребностями организации. Платформа поставляется в качестве предустановленного программного обеспечения на различных типах оборудования, применяемого в индустриальных и корпоративных сетях. Дополнительные сведения о системе можно найти на сайте продукта os.kaspersky.ru.

Постоянный URL: http://servernews.ru/1007324
29.01.2020 [16:26], Андрей Крупин

«Лаборатория Касперского» выпустила новую версию Kaspersky Web Traffic Security

«Лаборатория Касперского» сообщила о выпуске обновлённого программного комплекса Kaspersky Web Traffic Security.

Представленное отечественным разработчиком решение защищает корпоративные сети от веб-угроз, снижает риск утечки данных и повышает производительность труда за счёт управления доступом к интернет-ресурсам.

Новая версия Kaspersky Web Traffic Security включает в себя преднастроенный прокси-сервер и систему защиты проходящего через него трафика.

Продукт интегрирован с платформой для противодействия целевым атакам Kaspersky Anti Targeted Attack на уровне песочницы и теперь доступен для приобретения в виде ISO-образа виртуальной машины, готового к развёртыванию в корпоративной IT-инфраструктуре.

Kaspersky Web Traffic Security поддерживает работу в 64-битных операционных системах Red Hat Enterprise Linux, Ubuntu, Debian, SUSE Linux Enterprise Server, CentOS и виртуальных средах VMware ESXi, Microsoft Hyper-V Server. Более подробная информация о продукте доступна по ссылке kaspersky.ru/small-to-medium-business-security/proxy-server.

Постоянный URL: http://servernews.ru/1002532
Система Orphus