Компания ESET выпустила отчет об угрозах за 4 квартал 2020 года, в котором обобщила основные статистические данные, полученные от своих систем обнаружения. Также там говорится о тенденциях и прогнозах относительно кибербезопасности в целом.

Как отмечается, пандемия коронавируса продолжала влиять на сферу киберпреступности. Из-за перехода многих сотрудников на удалённую работу популярным методом атаки стал захват RDP или иные способы перехвата управления и получения доступа. Так, за период с 1 по 4 квартал телеметрия ESET зафиксировала увеличение попыток атак на RDP на 768%. Хотя к концу прошлого года эта динамика замедлилась.

Ещё одна тенденция — это рост числа почтового спама на тему COVID-19 и активизация различных ботнетов. При этом компания уточнила, что принимала участие в скоординированной атаке на ботнеты, в частности, на TrickBot. Это позволило отключить 94 % серверов TrickBot за одну неделю, после чего их активность резко упала.

В отчете об угрозах также рассматриваются наиболее важные выводы и достижения исследователей ESET. В их числе есть данные о нескольких хакерских группах. Подробности можно узнать в этом документе.

Компания ESET обнаружила вредоносное ПО под названием Kobalos, которое нацелено на суперкомпьютерные кластеры под управлением различных ОС. Специалисты компании уже работают совместно с экспертами по безопасности в ЦЕРНе и других организациях.

По данным источника, в числе целей ПО Kobalos есть крупный азиатский интернет-провайдер, североамериканский поставщик средств защиты клиентских систем, а также государственные и частные системы. А в Европе зловред нацелен на университетские сети, HPC-системы, маркетинговое агентство и хостинг. Попутно выяснилось, что в HPC-секторе используются устаревшие и неоптимальные методы защиты и отслеживания атак.

Не совсем обычной в данном случае является именно ориентация на высокопроизводительные системы (HPC). ESET вместе с другими организациями, включая ЦЕРН, выявила три волны атак на HPC, которые начались в конце 2019 года. Первая была явно связана с Kobalos, вторая была нацелена на майнинг криптовалют, а вот задачи третьей, наиболее широкой, так и не были установлены.

Вредоносная программа работает в Linux, BSD, Solaris, а также, возможно, имеет варианты для AIX и Windows. При это она отличается малым размером и множеством уловок. Kobalos предоставляет хакерам удалённый доступ к файловой системе, позволяет запускать терминальные сеансы и проксировать соединения с другими зараженными Kobalos серверами.

Само собой, таким образом ПО позволяет красть и учётные данные пользователей. Для этого пользователю может хватить и подключения к заражённой машине с помощью SSH-клиента. Чтобы уменьшить угрозу Kobalos, ESET предложила внедрить двухфакторную аутентификацию для подключения к SSH-серверам. В компании полагают, что это позволить хотя бы частично предотвратить распространение.

Компания ESET выпустила новую версию решения Enterprise Inspector 1.4 класса EDR (Endpoint Detection & Response), предназначенного для обнаружения и реагирования на киберинциденты в корпоративной сети.

Enterprise Inspector построен на основе продуктов ESET для защиты конечных точек и при развёртывании в корпоративной IT-инфраструктуре формирует комплексную экосистему, которая перекрёстно связывает все объекты сети. Решение позволяет противодействовать целевым атакам (APT), блокировать угрозы нулевого дня, защищаться от программ-вымогателей и бесфайловых методов взлома, а также прочих цифровых угроз. Поддерживается не только проактивный поиск угроз, но и ретроспективный анализ. Открытая архитектура позволяет гибко настраивать ESET Enterprise Inspector для обнаружения нарушений политик организации в отношении используемого ПО, например, торрентов, облачных хранилищ, браузера Tor и другого нежелательного софта.

Обновлённый ESET Enterprise Inspector 1.4 поддерживает защиту рабочих станций под управлением macOS. Для этого в продукт добавлены 40 новых правил, позволяющих учесть специфику атак на данную ОС. Важным нововведением стала поддержка Public API для интеграции EDR-решения с защитными системами других производителей. Также в программном комплексе реализованы средства удалённого реагирования и исследования инцидентов через службу PowerShell, включена поддержка двухфакторной аутентификации ESET Secure Authentication и функции сетевой изоляции, которая позволяет отключить связь заражённой рабочей станции с внутренними системами.

ESET Enterprise Inspector поддерживает как облачное, так и локальное развёртывание. Дополнительные сведения о продукте можно найти на сайте esetnod32.ru/business/products/eei.

Обратная сторона удобства сетей — потенциальная уязвимость, которая может вылиться в очень крупные проблемы, если атаке подвергаются управляющие компьютеры важных объектов, производств и систем жизнеобеспечения. Для защиты применяют так называемый «воздушный зазор» (air gap), когда управляющие ИТ-системы не имеют физической связи с сетями общего назначения. Однако и это не является стопроцентной гарантией от взлома либо утечки ценных данных.

Базовые механизмы работы трёх версий Ramsay

Одной из самых известных кибератак похожего типа можно назвать Stuxnet — одноимённый «червь» попал в систему, которая доступа в Интернет не имела. С тех пор идея «воздушного зазора» стала ещё более популярной. Однако и она не гарантирует стопроцентной защиты. ESET обнаружила группу хакеров, работающую над созданием вредоносных программ, способных преодолевать «зазоры» между сетями. Кроме того, совсем недавно аналогичную атаку, но уже со стороны китайских хакеров, зафиксировала и Лаборатория Касперского.

Червь ищет документы Word и добавляет себя к ним

Идея обхода «зазора» довольно проста — даже изолированные сети вынуждены как-то общаться друг с другом, пусть даже с помощью физических носителей данных. Так в своё время и поступили те, кто атаковал иранскую ядерную программу. Меры безопасности в пост-Stuxnet эпоху серьёзно возросли, все накопители в таких системах тщательно проверяются. Но вредоносный код не обязательно должен существовать сам по себе, его могут «подвезти» файлы и устройства, не попадающие под подозрение.

История Ramsay

Новый червь носит имя Ramsay, ему достаточно оказаться с любой стороны «воздушного зазора», после чего он начнёт заражать все обнаруженные им системы. «Рэмзи» существует, как минимум, в трёх вариациях: версии 1 и 2.b использует уязвимость в .doc (CVE-2017-0199), .rtf (CVE-2017-11882) и механизмы Visual Basic, интегрированные в Word. Версия 2.a рассчитана на применение «отвлекающего инсталлятора». Червь в итоге маскируется под ряд dll-файлов и инъецирует себя в запущенные процессы, минуя UAC.

Структура контейнера Ramsay

Серьёзных массовых случаев заражения Ramsay пока не отмечено, однако ESET подтверждает существование продвинутой группы кибершпионажа, которая активно работает над развитием данного проекта. Червь весьма непрост: пропустив момент первоначального заражения, вы рискуете уже никогда не поймать его — настолько ловко он маскируется. Компания рекомендует всем, кто опасается за ценные данные, уделять повышенное внимание съёмным накопителям, которые применяются для переноса данных через «воздушный зазор». Подробности о новом черве можно прочесть в отчёте ESET.

Механика работы BlueCore и RedCore

Как уже было сказано, идея преодоления «зазора» сама по себе проста, сложна лишь её техническая реализация. К сожалению, этой идеей уже успели воспользоваться не только создатели Ramsay. Как отмечает Лаборатория Касперского, китайская группа «Goblin Panda and Conimes» (она же «Cycldeck»), активная уже в течение семи лет, атакует правительственные сети государств юго-востока Азии, в частности, Вьетнам, Лаос и Тайланд. Основная цель — сети дипломатических и государственных организаций.

Механизмы, реализованные во вредоносном ПО этой группы, также эксплуатируют уязвимости Microsoft Office: CVE-2012-0158, CVE-2017-11882 и CVE-2018-0802. Активность китайских хакеров явно делится на два кластера, поскольку обнаружено два варианта ПО, условно названных BlueCore и RedCore. Оба варианта маскируются под dll-файлы популярных антивирусных программ, но RedCore обладает дополнительной функциональностью — она содержит кейлоггер, логгер сессий RDP, прокси-сервер и идентификатор присутствующих в системе устройств.

Статистика активности BlueCore и RedCore согласно данным Лаборатории Касперского

Важной частью BlueCore и RedCore является программа USBCulprit, способная сканировать системы жертв, собирать заданные атакующими документы (форматы .pdf, .doc, .wps, docx, ppt, .xls, .xlsx, .pptx и .rtf, копировать их на USB-носители, а также запускать с этих носителей различные исполняемые файлы. Этим функциональность не ограничивается: черви авторства «Cycldeck» имеют множество модулей и могут похищать информацию прямо из браузеров на движке Chromium, включая списки паролей. Подробности можно узнать на сайте SecureList.

Группа китайских хакеров маскируется под маргинальную, однако используемый ими профессиональный инструментарий говорит о серьёзном уровне подготовки; впрочем, остаётся открытым вопрос о том, работают ли они на правительство КНР.

Компания ESET объявила о выпуске новой версии программного решения Endpoint Antivirus 7 для Linux, обеспечивающего комплексную защиту корпоративных рабочих станций от киберугроз.

Ключевой особенностью обновлённого ESET Endpoint Antivirus для Linux стала микросервисная архитектура. Благодаря этому продукт работает стабильнее, поскольку компоненты запускаются по мере необходимости, а сбой одного из них не выводит из строя все приложение. За счёт этого сохраняется производительность рабочей станции.

В числе прочих изменений нового решения называются доработанные средства защиты от вредоносного ПО, поддержка облачной технологии обнаружения цифровых угроз LiveGrid и совместимость с консолью централизованного управления продуктами ESET — Security Management Center. Кроме того, в обновлённом Endpoint Antivirus 7 для Linux отсутствует графический интерфейс: пользователи получают только всплывающие уведомления, которые отображаются при обнаружении угрозы и запуске автоматического сканирования съёмного носителя.

Продукт предназначен для защиты данных организации любого масштаба. Более подробную информацию о пакете ESET Endpoint Antivirus для Linux можно получить на сайте esetnod32.ru/business/products/linux.

Компания ESET сообщила о получении положительного заключения Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на защитный комплекс NOD32 Secure Enterprise Pack версии 6.

Выданный ведомством сертификат допускает использование продукта для защиты информационных систем персональных данных (ИСПДн) до класса К1 и конфиденциальной информации в автоматизированных системах (АС) до класса 1Г в части построения антивирусных систем любого масштаба.

Сертификат распространяется на следующие компоненты решения: средство для защиты рабочих станций Endpoint Antivirus 7.1, файловых серверов File Security for Microsoft Windows Server 7.1 и почтовых серверов Mail Security for Microsoft Exchange Server 7.1, а также на инструментарий централизованного управления Remote Administrator 6.5.

Сертификат соответствия ФСТЭК России действителен до 4 февраля 2025 года. Дополнительные сведения о программном решении можно найти на сайте esetnod32.ru/business/certified/sep.

Компания ESET объявила о выпуске новой версии программного комплекса «Офисный контроль и DLP Safetica» 9.5.

Решение защищает организации от спланированных или случайных утечек данных и злонамеренных действий инсайдеров, а также повышает эффективность работы сотрудников благодаря мониторингу их деятельности.

Обновлённый комплекс «Офисный контроль и DLP Safetica» получил средства аудита электронной почты Exchange Online, функции распознавания конфиденциальной информации и запрет её отправки по e-mail, а также инструменты ведения логов и блокировки инцидентов непосредственно на облачном почтовом сервере.

В новой версии решения улучшена поддержка веб-приложений, использующих сквозное шифрование. Среди них популярные мессенджеры, такие как Telegram и WhatsApp, которые активно используются для оперативного решения корпоративных задач. Помимо этого, в «Офисный контроль и DLP Safetica» 9.5 улучшена маркировка файлов на основе метаданных. Новая технология классификации используется для применения контекстных правил DLP к файлам, отправляемым с защищённых конечных точек.

Более подробные сведения о продукте и его функциональных возможностях представлены на сайте esetnod32.ru/business/services/eta/dlp.

Компания ESET объявила о выпуске новой версии программного комплекса «Офисный контроль и DLP Safetica».

Решение защищает организации от спланированных или случайных утечек данных и злонамеренных действий инсайдеров, а также повышает эффективность работы сотрудников благодаря мониторингу их деятельности.

Обновлённый комплекс «Офисный контроль и DLP Safetica» получил доработанные средства информирования ИБ-служб об инцидентах и нарушениях политики безопасности, интеграцию с защитными решениями компании Fortinet (FortiGate, FortiMail и FortiSIEM) и возможность загрузки связанных с инцидентами кибербезопасности файлов на сервер Safetica. Это позволяет использовать указанные файлы в качестве вещественных доказательств при расследовании киберинцидентов.

Также в новой версии программного комплекса реализованы расширенные функции контекстной классификации, позволяющие использовать постоянные метаданные вместо NTFS-меток. Благодаря этому стало возможным разворачивать агентские модули продукта на рабочих станциях под управлением macOS (серверные компоненты защитного решения по-прежнему поддерживают работу только в среде Windows).

Дополнительные сведения о продукте можно найти на сайте esetnod32.ru/business/services/eta/dlp.

Компания ESET объявила о выпуске обновлённой версии решения Secure Authentication, предназначенного для защиты доступа к корпоративной сети посредством выстраивания ещё одного контура защиты учётных записей пользователей.

ESET Secure Authentication добавляет второй уровень аутентификации при удалённом доступе к корпоративной IT-инфраструктуре. Если в однофакторных системах используются логин и пароль, то двухфакторные системы предполагают дополнительный уровень защиты учётной записи — формируемый случайным образом временный пароль, который пользователь получает посредством SMS, специального мобильного приложения или аппаратного токена. Использование двухфакторной аутентификации обеспечивает более высокий уровень безопасности доступа к информационным ресурсам предприятия.

В новой версии решения реализована поддержка мобильных приложений — аппаратные ключи с привязкой по времени (TOTP) теперь можно использовать на iOS- и Android-устройствах. Также разработчики добавили в продукт инструменты аналитики пользовательской активности, возможность самостоятельной регистрации сотрудников в системе, поддержку аппаратных ключей безопасности стандарта FIDO U2F и FIDO2. Кроме того, новая версия ESET Secure Authentication получила дополнительные настройки и расширенную поддержку сайтов и служб домена Active Directory.

Инструмент ESET Secure Authentication может быть актуален для организаций, предоставляющих сотрудникам удалённый доступ к рабочей почте и другим корпоративным ресурсам. Дополнительная информация о системе двухфакторной аутентификации представлена на сайте esetnod32.ru/business/products/esa.

Материалы по теме:

• ESET представила на российском рынке бизнес-решение NOD32 Secure Enterprise;
• ESET представила обновления в корпоративной линейке продуктов NOD32;
• Релиз ESET Security for Microsoft SharePoint Server.

Источник:

• esetnod32.ru

Компания ESET выпустила на рынок Enterprise Inspector — решение класса EDR (Endpoint Detection & Response) для предотвращения, обнаружения и реагирования на киберинциденты в корпоративной сети.

Enterprise Inspector построен на основе продуктов ESET для защиты конечных точек и при развёртывании в корпоративной IT-инфраструктуре формирует комплексную экосистему, которая перекрёстно связывает все объекты сети. Решение позволяет противодействовать целевым атакам (APT), блокировать угрозы нулевого дня, защищаться от программ-вымогателей и бесфайловых методов взлома, а также прочих цифровых угроз. Поддерживается не только проактивный поиск угроз, но и ретроспективный анализ. Открытая архитектура позволяет гибко настраивать ESET Enterprise Inspector для обнаружения нарушений политик организации в отношении используемого ПО, например, торрентов, облачных хранилищ, браузера Tor и другого нежелательного софта.

«Количество и качество таргетированных кибератак на компании продолжает расти. Атакующие проводят разведку и анализ средств защиты, находят уязвимые места в инфраструктуре и используют новые векторы для проникновения. Среди прочего мы видим стремительный рост числа бесфайловых атак, защититься от которых на уровне базовых продуктов для безопасности невозможно, — считает Виталий Земских, технический директор ESET Russia&CIS. — Для обнаружения, реагирования и предотвращения сложных целевых атак мы разработали решение класса EDR, которое позволяет производить проактивный поиск аномалий и угроз, включая АРТ. Решение предназначено для средних и крупных компаний, которые ежедневно сталкиваются с новыми видами атак».

ESET Enterprise Inspector поддерживает как облачное, так и локальное развёртывание. Дополнительные сведения о продукте можно найти на сайте esetnod32.ru/business/products/eei.

Материалы по теме:

• ESET представила средство двухфакторной аутентификации Secure Authentication;
• Система защиты от утечек ILD получила полнотекстовый поиск по документам;
• Суперкомпьютерные центры РАН объединили защищённым каналом передачи данных.

Источник:

• esetnod32.ru