В 2018 году российский сегмент Сети атаковали в два раза чаще

В 2018 году российский сегмент Сети атаковали в два раза чаще

В «Ростелекоме» рассказали про динамику кибератак в российском сегменте Сети. По словам вице-президента «Ростелекома» по информационной безопасности Игоря Ляпунова, в прошлом году таких инцидентов стало вдвое больше. При этом бюджет российского даркнета и киберпреступных группировок превысил 2 миллиарда рублей.

Ляпунов предоставил эту статистику, выступая на Российском интернет-форуме (РИФ+КИБ 2019). Согласно его заявлению, эту информацию удалось получить благодаря центру мониторинга реагирования на кибератаки, который принадлежит «Ростелекому».

«Это кибератаки, как общие, так и целевые таргетированные атаки, были направлены на получение денег», — заявил Ляпунов. — «При этом бюджет российского даркнета и группировок хакеров превышает 2 млрд рублей».

«Это большая индустрия, все выросли из разряда хулиганов. На данный момент та самая темная сторона является серьезным, хорошо структурированным и хорошо работающим бизнесом, с большим объемом инвестиций».

Ляпунов также отметил, что в прошлом году российский сегмент интернета столкнулся с самой мощной на сегодняшний день DDoS-атакой — 450 Гбит/сек.

«Это на порядок больше тех, которые мы видели в предыдущие годы», — уточнил вице-президент «Ростелекома» по информационной безопасности.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

APT-группа Nobelium ставит на ADFS-серверы новый бэкдор — FoggyWeb

Эксперты Microsoft изучили новый инструмент постэксплуатации, который APT-группа Nobelium уже пустила в ход. Бэкдор, получивший кодовое имя FoggyWeb, позволяет взломщикам получить данные о настройках службы федерации Active Directory (ADFS), сертификаты для подписи и расшифровки токенов SAML, а также загрузить на сервер дополнительные компоненты.

Преступная группировка, которую в Microsoft называют Nobelium, известна и под другими именами — APT29, The Dukes, Cozy Bear. Эти хакеры часто обновляют свой арсенал и проводят сложные атаки на госструктуры, НКО, научно-исследовательские учреждения, поставщиков ИТ- и телеком-услуг. Им также приписывают авторство прошлогоднего нападения на SolarWinds, получившего большой резонанс.

Первые атаки с использованием FoggyWeb, по данным Microsoft, были зафиксированы в минувшем апреле. Хакеры устанавливают этого работающего в памяти зловреда на взломанный сервер ADFS, чтобы обеспечить себе плацдарм для развития атаки.

Получив админ-доступ к системе, злоумышленники вносят в нее два файла — зашифрованный Windows.Data.TimeZones.zh-PH.pri (FoggyWeb) и version.dll (загрузчик). Вредоносная библиотека загружается в память процесса ADFS по методу подмены DLL; этот компонент отвечает за расшифровку и запуск основного модуля бэкдора.

Активированный FoggyWeb мониторит входящие HTTP-запросы GET и POST, фиксируя используемые схемы URI — список нужных жестко прописан в его коде. Обнаружив совпадение, зловред перехватывает послание и выполняет содержащуюся в нем команду.

 

Ввиду появления новой угрозы Microsoft разослала оповещения заинтересованным клиентам, призвав их усилить защиту ADFS-серверов. С этой целью пользователям рекомендуется сделать следующее:

  • обновить ADFS до последней версии;
  • проверить локальные и облачные ресурсы организации на предмет несанкционированных изменений настроек;
  • удалить неиспользуемые протоколы и функции Windows; 
  • ограничить доступ к ADFS-системам и ужесточить контроль, усилить пароли;
  • поместить используемые для подписи ключи и сертификаты в аппаратное хранилище (HSM).
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru