Переустановка или перезагрузка Windows не защитит от нового зловреда
Обнаружен руткит, который оставался на устройствах даже после перезагрузки ОС или переустановки Windows.
Исследователи "Лаборатории Касперского" обнаружили новый руткит прошивки UEFI, который получил название CosmicStrand. Зловред остаётся на компьютере жертвы даже после перезагрузки операционной системы или переустановки Windows. Это усложняет его обнаружение.
Создание CosmicStrand эксперты приписывают ранее неизвестной китайскоязычной APT-группе. И хотя пока неясно, какую цель преследуют злоумышленники, отмечается что их жертвами становились частные пользователи в Китае, Вьетнаме, Иране и России.
Все атакуемые устройства были на базе Windows: каждый раз во время перезагрузки после запуска Windows уже на уровне ОС запускался небольшой фрагмент вредоносного кода. Этот загрузчик подключался к серверу и получал оттуда следующие исполняемые файлы.
"Прошивка UEFI — важная составляющая современного ПК. Её код отвечает за начальную загрузку устройства и запуск операционной системы. Если в UEFI есть вредоносный код, то он активируется ещё до запуска операционной системы. Из-за этого активность вредоноса становится невидимой для многих защитных решений, работающих на уровне ядра ОС. Тот факт, что прошивка находится на флеш-памяти на материнской плате, а не на жёстком диске, также способствует тому, что атаки CosmicStrand сложно детектируются. Сейчас защитные решения "Лаборатории Касперского" детектируют и блокируют этот зловред, мы продолжаем регулярно актуализировать базы угроз", — комментирует Денис Легезо, ведущий эксперт по кибербезопасности "Лаборатории Касперского".
Чтобы защититься от таких угроз, как CosmicStrand, эксперты рекомендуют:
- предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах;
- проводить обучение сотрудников правилам кибербезопасности, так как многие целевые атаки начинаются с фишинга;
- использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности, которые помогут распознавать и останавливать атаки на ранних стадиях, до того как атакующие достигнут своих конечных целей;
- регулярно обновлять UEFI и использовать прошивку только от надёжных поставщиков.
Ранее эксперт "Лаборатории Касперского" рассказывал о кибератаках на малый бизнес и чего стоит опасаться.