новости

Кибергруппа из Северной Кореи атакует компании в Казахстане

Новостная Редакция

2 min read
Кибергруппа из Северной Кореи атакует компании в Казахстане

Обнаружены новые атаки северокорейской кибергруппы, которая входит в состав Lazarus.

Эксперты "Лаборатории Касперского" обнаружили новые атаки Andariel, северокорейской кибергруппы, которая входит в состав Lazarus. В них используются модификации известного ПО DTrack, а также новая программа-вымогатель, Maui. В числе целей — крупные организации в США, Японии, Индии, Вьетнаме, России и Казахстане.

Andariel не фокусируется на каких-то определённых компаниях, для атакующих главное, чтобы у целевой организации было прочное финансовое положение. Группа ведёт свою деятельность более десяти лет и в 2022 году продолжает расширять свой арсенал вредоносного ПО и географию атак.

В июльском отчёте Агентства по кибербезопасности и защите инфраструктуры США сообщается, что Andariel атаковала государственные и медицинские организации посредством вымогателя Maui.

Также злоумышленники используют шпионскую программу DTrack, которая была создана группой Lazarus. Зловред используется для загрузки файлов в системы жертв и скачивания их оттуда, записи нажатия клавиш и проведения других действий, типичных для вредоносного инструмента удалённого администрирования (RAT). DTrack собирает информацию о системе и истории браузера через команды Windows. Злоумышленники могут находиться в целевой сети долгие месяцы, прежде чем начать атаку.

"Мы следим за Andariel годами и видим, что их атаки постоянно меняются и усложняются. Стоит обратить внимание на то, что группа распространяет вымогательское ПО по всему миру. Это подтверждает, что деньги по-прежнему остаются мотивацией для участников этой группы", — говорит Мария Наместникова, руководитель российского исследовательского центра "Лаборатории Касперского".

Рекомендации, чтобы защитить бизнес от атак программ-вымогателей:

  • не допускать возможность подключения к службам удалённого рабочего стола (таким как RDP) из общественных сетей; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб;
  • устанавливать доступные патчи для используемых в компании коммерческих VPN-решений, как только они выходят;
  • регулярно обновлять всё ПО, используемое в компании, чтобы программы-вымогатели не могли эксплуатировать уязвимости;
  • сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
  • регулярно создавать резервные копии данных и проверять, что к ним можно быстро получить доступ в случае необходимости;
  • использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности;
  • проводить обучение сотрудников правилам кибербезопасности;
  • использовать надёжное защитное решение, в котором есть функция предотвращения эксплойтов, модуль поведенческого детектирования и возможность отката вредоносных действий. Также в решении есть механизмы самозащиты, которые позволяют исключить возможность его удаления злоумышленниками;
  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах.