Zlock защитил Техносилу от утечек

Компания SECURIT, первый российский разработчик IPC-решений, сообщает об успешном внедрении системы защиты от утечек информации Zlock в компанию «Техносила».

Специалистам «Техносилы» была поставлена задача исследования рынка средств контроля доступа к USB-устройствам и выбора наиболее подходящего решения. Необходимость централизованного контроля USB-, LPT-, COM-устройств и портов на рабочих станциях была продиктована интенсивным ростом компании и, как следствие, увеличением парка персональных компьютеров и мобильных накопителей. В итоге по совокупности характеристик для защиты от внутренних угроз был выбран Zlock.

Продукт Zlock компании SECURIT предназначен для защиты информации от утечек через периферийные устройства, локальные и сетевые принтеры. Zlock поддерживает контроль USB-устройств, жестких дисков, FDD-, CD-, DVD-дисководов, принтеров, Wi-Fi-, Bluetooth-, IrDA-контроллеров, портов LPT, COM и IEEE 1394, а также сетевых карт.

Zlock может осуществляться как через единую для IPC-решений SECURIT консоль, так и через групповые политики домена. Это даёт возможность унифицировать инструменты развертывания и управления Zlock с другим корпоративным ПО. Возможность гибкого разделения прав доступа к функциям консоли позволяет интегрировать Zlock в любую сложную систему управления информационной безопасностью. В системе Zlock предусмотрена возможность теневого копирования всех записываемых на носители файлов и распечатываемых на локальных и сетевых принтерах документов. Zlock позволяет вести архив действий сотрудников на рабочих местах, что существенно упрощает расследование подозрительных инцидентов или утечек конфиденциальной информации.

«Оглядываясь назад, мы понимаем, что не зря выбрали Zlock российской компании SECURIT четыре года назад фактически сразу после его выхода. В 2005 году нами двигало желание купить надежное решение для контроля USB-устройств, — рассказывает Леонид Тюкавкин, Вице-президент по стратегии компании «Техносила».Когда мы только узнали о Zlock, он находился лишь в бета-версии. Другие продукты на рынке либо совсем не подходили нам функционально, либо были лишены адекватной техподдержки. В такой ситуации мы решили сделать ставку на только что выпущенный Zlock и не прогадали».

«Техносила» была одной из первых крупных компаний, которые в 2005-м решили попробовать Zlock. Понятно, что в первой версии еще оставались недочеты и недоработки, поэтому мы благодарны специалистам «Техносилы» за терпение и конструктивные пожелания по улучшению Zlock, Александр Белявский, коммерческий директор SECURIT. — Четыре года назад мы поставили себе цель занять заметное место на рынке разработок для защиты от утечек информации. Сейчас мы можем сказать, что перевыполнили этот план и являемся лидирующей компанией-разработчиком систем защиты от внутренних угроз».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru