Расследование сложных атак

Лаборатория Касперского подключилась к расследованию кибератак, которые затронули около 140 организаций из 40 стран мира.

Телекоммуникационные компании, банки, финансовые организации, правительственные учреждения,  порядка 140 организаций стали жертвами новых и в то же время сложных кибератак.

К расследованию этих инцидентов подключились и специалисты из ЛК, которые рассказали о том, что пострадавшие учреждения стали жертвой нового,  «бестелесного зловреда», который живет только в оперативной памяти устройства. Данный вид, очень сложно обнаружить т.к у него отсутствует «тело», по мнению специалистов, заражение происходило при помощи легитимного ПО, которое используется для автоматизации задач в Windows и администрирования.

Данный вид эловреда был обнаружен Лабораторией Касперского в конце 2016 года, расследуя подозрительную активность одного финансового учреждения, на серверах была обнаружена легальная программа Meterpreter  для тестирования проникновения.

Как оказалось, в эту легальную программу был загружен PowerShell-скрипт, который загружался  напрямую в память из реестра, этот скрипт позволял отслеживать и перехватывать пароли администраторов. Такой способ заражения был обнаружен и в других странах, стоит отметить тот факт, что вредоносный код внедряется в легитимные утилиты, что позволяет вредоносному ПО быть незамеченным для антивирусных сканеров.

По словам ведущего специалиста Лаборатории Касперского, Сергея Голованова- бесфайловое вредоносное ПО, это новый тренд в мире киберугроз, поэтому исследованию системной памяти нужно уделять все больше внимания.

Как выяснилось, детали расследования «Лаборатория Касперского» представит на международной конференции по кибербезопасности Security Analyst Summit, которая будет проходить в начале апреля на острове Сен-Мартен.