Информационные системы банков, телеком операторов, госорганов, промышленных компаний содержат критически опасные уязвимости, связанные с неправильной конфигурацией в 40% случаев. При этом в 20% компаний уязвимости связаны с несвоевременным обновлением ПО, а в 27% случаев наблюдаются ошибки в коде веб-приложений.
При этом информация о самой старой из обнаруженных уязвимостей, а также обновление, решающее проблему с ней, были опубликованы более 17 лет назад. «Уязвимость связана с тем, что DNS-сервер поддерживает рекурсию запросов. В результате эксплуатации данной уязвимости злоумышленник может проводить атаки на отказ в обслуживании»,— утверждают авторы отчета. Средний возраст наиболее устаревших неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет девять лет, следует из отчета,
В ходе тестов, проведенных Positive Technologies в 2016 году, выяснилось, что в 55% случаев внешний нарушитель, обладающий минимальными знаниями и довольно низкой квалификацией, способен преодолеть периметр и получить доступ к ресурсам в локальной сети компании. Для этого в среднем необходимо найти только две уязвимости в используемом компанией ПО.
«В 77% работ сетевой периметр удалось преодолеть из-за уязвимостей веб-приложений, а в 23% — из-за уязвимостей, связанных с использованием словарных паролей»,— рассказали в компании. В результате более чем в половине случаев от лица внешнего нарушителя удалось получить полный контроль над критически важными ресурсами компаний, такими как система Active Directory, СУБД, ERP-система и др.
В целом объекты критической инфраструктуры, к которой, согласно законопроекту, рассматриваемому Госдумой, предлагается отнести IT-системы банков, телеком-операторов и промышленных предприятий, в 2016 году подверглись 70 млн кибератак, сообщал в январе представитель ФСБ. При этом объем средств, похищенных хакерами только из российских банков, по данным Group-IB, составил за тот же период 5,53 млрд руб. В банке данных угроз безопасности информации, который с марта 2015 года ведет Федеральная служба по техническому и экспортному контролю, на данный момент находится информация о 16,5 тыс. уязвимостей в ПО, используемом при создании государственных IT-систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Системное или прикладное ПО без необходимых обновлений стоит примерно в девяти из десяти компаний, уверен руководитель аналитического центра Zecurion Владимир Ульянов. «Причин для этого много. В некоторых компаниях боятся, что после обновления какой-то компонент откажется работать или начнет работать неправильно. Принцип “работает — не трожь” до сих пор одна из главных догм системных администраторов»,— поясняет господин Ульянов. Он добавляет, что большое количество оборудования, разнообразие используемых систем, территориально удаленные филиалы и устаревшие системы также приводят к тому, что какие-то компоненты не обслуживаются IT-специалистами должным образом.
Эксперты ESET обнаружили необычный плагин, созданный для NonEuclid RAT. Модуль использует Windows API для подачи громких звуковых сигналов и параллельно отображает картинку, которая может привидеться только в страшном сне.
Объявившийся в этом году троян NonEuclid — один из многочисленных форков опенсорсного AsyncRAT. Он тоже обладает модульной архитектурой, позволяющей расширить функциональность зловреда.
При создании NonEuclid вирусописатели дали волю своей фантазии: в отличие от более «классических» собратьев DcRAT и VenomRAT, их детище умеет шифровать данные, брутфорсить пароли к FTP и SSH, подменять адреса криптокошельков в буфере обмена, внедрять в PE-файлы пейлоад по выбору оператора, в том числе на USB-устройствах.
Найденный исследователями новый плагин именуется «Screamer» («кричалка», «пугалка»). В него вшиты пять изображений, и по команде оператора зловред выбирает одно из них для вывода.
Он также получает WAV-файл и значение задержки, а при проигрывании выводит звук и высокие частоты на максимум, манипулируя Windows API.
Исследователи полагают, что столь необычный компонент предназначен для диверсий (в случае использования зараженной системы для критически важных операций) и шантажа.
Написанный на C# инструмент удаленного администрирования AsyncRAT был опубликован на GitHub как проект с открытым исходным кодом в 2019 году. С тех пор злоумышленники неустанно плодят вредоносные клоны с дополнительными возможностями.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
