В октябре 43% кибератак на совести программы-вымогателей

В октябре 43% кибератак на совести программы-вымогателей

В октябре 43% кибератак на совести программы-вымогателей

В прошедшем месяце команда сетевой криминалистики Varonis проанализировала активность, наблюдаемую при реагировании на инциденты, проведении расследований сетевой криминалистики и обратной разработке образцов вредоносных программ.

Основными векторами атак в октябре стали: программы-вымогатели (43%), вредоносы (15%), брутфорс (14%), криминальные группировки и APT-атаки (14%), компрометация деловой переписки (14%).

Кроме того, компания выделила несколько специфичных вредоносных программ, на которые стоит обратить особое внимание. Первая из них — Ryuk, разновидность программы вымогателя, использующаяся для целевых атак. У модификаций Ryuk есть два основных способа заражения: фишинг, направленный на конкретных сотрудников внутри организации, а также использование заранее полученных учетных записей для доступа к устройствам внутри компании-жертвы через удаленный рабочий стол.

Еще одним опасным «вредоносом» аналитики называют Silent Librarian или COBALT DICKENS или TA407, которая использует методы адресного фишинга и атакует университеты. Цель этого софта в краже научно-исследовательских данных. Silent Librarian базируется в Иране и, скорее всего, финансируется иранским правительством.

Эксперты также обращают внимание на латиноамериканский банковский троян Mekotio. Набор функций Mekotio часто меняется, и, более того, одновременно разрабатывается несколько его разновидностей. В основном троян распространяется через спам-рассылки и использует несколько этапов загрузки.

«В конце сентября группа сетевой криминалистики Varonis связалась с заказчиком после того, как наши системы отслеживания угроз выявили скрытую атаку с помощью программы-вымогателя. Во время расследования выяснилось, что у клиента был скомпрометированный пользователь Office365, с помощью которого злоумышленнику удалось получить доступ к локальной сети, взломать учетную запись службы и использовать ее для запуска программ-вымогателей Cobalt Strike и NetWalker. Наши коллеги использовали как базовые возможности ПО Varonis, так и продвинутый функционал поведенческого анализа, чтобы предоставить заказчику подробный отчет. Отчет включал в себя как сегменты данных, которые не были затронуты вирусом, так и индикаторы компрометации (IOC) программы-вымогателя NetWalker, чтобы заказчик смог провести расследование и в других системах кибербезопасности», — рассказывает глава Varonis в России Даниэль Гутман.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российская энергетика возглавила рейтинг по заражениям из интранета

В третьем квартале 2025 года именно российский сектор электроэнергетики стал лидером по числу попыток заражений, когда источником вредоносных программ выступали сайты во внутренней сети предприятий — так называемом интранете. Об этом сообщили специалисты «Лаборатории Касперского» на выставке GITEX Global 2025.

В промышленных сетях интранет — это не просто внутренние страницы, а целые системы: документооборот, управление жизненным циклом оборудования (PLM), ресурсами предприятия (ERP) и другие сервисы.

По словам экспертов, из-за низкого уровня кибергигиены многие из них годами остаются заражёнными майнерами, вредоносами и червями.

Интернет при этом остаётся главным источником угроз. По статистике, энергетика заняла первое место в России по доле компьютеров АСУ, на которых фиксировались обращения к заражённым сайтам, в том числе внутренним, и к страницам с вредоносными скриптами.

Также отмечены многочисленные попытки подключения к ресурсам, связанным с майнингом криптовалют. Всё это указывает на системные проблемы с кибербезопасностью в отрасли.

По данным Kaspersky Cyber Threat Intelligence, из 14 активных кибергрупп, работающих против российских организаций, восемь проявляют интерес к энергетическим предприятиям.

Самый частый способ проникновения в сеть — фишинговые письма. Обычно злоумышленники маскируют вредоносные вложения под документы с названиями вроде «Накладная», «Резюме кандидата», «Приглашение на ВКС» или «Указ». Нередко они используют украденные учётные данные сотрудников и подрядчиков, подключаясь по VPN или RDP из внешних сетей.

Как отметил Кирилл Круглов, старший исследователь-разработчик Kaspersky ICS CERT, энергетические предприятия регулярно становятся целью целевых атак, включая атаки на цепочки поставок.

«Если компания не учитывает риски со стороны подрядчиков и доверенных партнёров, то риск проникновения вымогателей или шпионских программ резко возрастает», — подчеркнул эксперт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru