В них
используются модификации известного ПО
DTrack, а
также новая программа-вымогатель,
Maui. В
числе целей — крупные организации в США, Японии, Индии, Вьетнаме и России.
Andariel
не фокусируется на каких-то определённых компаниях,
для атакующих главное, чтобы у целевой организации было прочное финансовое
положение.
Группа
ведёт свою деятельность более десяти лет и в 2022 году продолжает расширять
свой арсенал вредоносного ПО и географию атак. В июльском
отчёте
CISA (Агентства по кибербезопасности и защите
инфраструктуры США) сообщается, что
Andariel
атаковала государственные и медицинские организации посредством вымогателя
Maui.
Также
злоумышленники используют шпионскую программу
DTrack, которая, по данным
Kaspersky Threat
Attribution Engine, была
создана группой
Lazarus. Зловред
используется для загрузки файлов в системы жертв и скачивания их оттуда,
записи нажатия клавиш и проведения других действий, типичных для
вредоносного инструмента удалённого администрирования (RAT).
DTrack
собирает
информацию о системе и истории браузера через команды
Windows. Злоумышленники могут находиться в целевой сети долгие
месяцы, прежде чем начать атаку.
По
наблюдениям экспертов «Лаборатории Касперского», вымогатель
Maui
запускался после внедрения в корпоративную сеть
зловреда
DTrack
и
использовался в первую очередь для атак на компании в США и Японии.
«Мы
следим за
Andariel
годами
и видим, что их атаки постоянно меняются и усложняются. Стоит обратить внимание
на то, что группа распространяет вымогательское ПО по всему миру. Это
подтверждает, что деньги по-прежнему остаются мотивацией для участников
этой группы», — говорит Мария Наместникова, руководитель российского
исследовательского центра «Лаборатории Касперского».
Чтобы
защитить бизнес от атак программ-вымогателей, «Лаборатория Касперского»
напоминает компаниям о
необходимости
соблюдать следующие меры:
-
не допускать возможность подключения к службам
удалённого рабочего стола (таким
как
RDP) из общественных сетей;
настроить политики безопасности таким образом, чтобы использовать надёжные
пароли для этих служб;
-
устанавливать доступные патчи для используемых в
компании коммерческих
VPN-решений,
как только они выходят;
-
регулярно обновлять всё ПО, используемое в компании,
чтобы программы-вымогатели не могли эксплуатировать уязвимости;
-
сосредотачивать стратегию защиты на обнаружении
перемещений по сети и передаче данных в интернет; обращать особое внимание
на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
-
регулярно создавать резервные копии данных и проверять,
что к ним можно быстро получить доступ в случае необходимости;
-
использовать комплексные решения для защиты всей
инфраструктуры от кибератак любой сложности, такие как
Kaspersky Symphony
XDR: эта платформа содержит в себе
в том числе системы обнаружения и реагирования, которые помогут
распознавать и останавливать
атаки на ранних стадиях, до того как атакующие достигнут своих конечных
целей;
-
проводить обучение сотрудников правилам кибербезопасности,
например с помощью платформы
Kaspersky
Automated Security Awareness Platform;
-
использовать надёжное защитное решение, такое как
Kaspersky
Endpoint Security
для бизнеса,
в котором есть функция предотвращения эксплойтов, модуль поведенческого
детектирования и возможность отката вредоносных действий. Также
в решении есть механизмы самозащиты, которые позволяют исключить
возможность его удаления злоумышленниками;
- .предоставлять специалистам
SOC-центра доступ к самым свежим
данным об угрозах, например к порталу Kaspersky
Threat Intelligence Portal, на котором
собраны данные о
кибератаках,
накопленные за 25 лет работы «Лаборатории Касперского». Свободный доступ к
базовым функциям открыт по
сcылке https
://opentip.kaspersky.com/.
* Текст был изменён, чтоб соответствовать оригинальной английской версии и политике "Лаборатории Касперского" по атрибуции.
Кибергруппа Andariel атакует компании по всему миру, в том числе в России
KasperskyЭксперты «Лаборатории Касперского» обнаружили новые атаки Andariel, кибергруппы, которая входит в состав Lazarus