КРЕДО-С и Group-IB запустили сервис защиты от киберугроз для бизнеса

Татьяна Никитина 19 Февраля 2021 - 14:43

...

КРЕДО-С и Group-IB запустили сервис защиты от киберугроз для бизнеса

Российский системный интегратор «КРЕДО-С» и ИБ-компания Group-IB (GIB) ввели в строй новый сервис на основе Threat Hunting Framework (THF) — флагманского решения GIB по выявлению киберугроз в корпоративных сетях. Пакет услуг, предоставляемых в рамках партнерской программы MSSP (Managed Security Service Provider), включает круглосуточную поддержку и реагирование на киберинциденты, в том числе целевые атаки и не известные ранее угрозы.

Новый SECaaS-сервис (Security as a Service), уже доступный клиентам «КРЕДО-С», обеспечивает защиту сетей компании, а также рабочих мест сотрудников, в том числе удаленных. Сигналы о выявленных аномалиях поступают в центр мониторинга CERT CREDOS, который отслеживает такие события в режиме 24/7, реагирует на них и ведет активный поиск угроз (threat hunting) как внутри, так и за пределами защищенного периметра. В случае необходимости он подключает вторую линию поддержки — специалистов GIB.

«Разработанная нами модель поставки THF как услуги позволяет любым компаниям, независимо от масштабов, эффективно обнаруживать целевые атаки и не известные ранее киберугрозы в электронной почте заказчиков, сетевом трафике (в том числе, промышленном) или передаваемых файлах и блокировать даже самые сложные угрозы еще в момент распространения, — комментирует Станислав Фесенко, руководитель департамента системных решений Group-IB. — THF экономит деньги бизнеса и время аналитиков, автоматически коррелируя разрозненные события вокруг одной атаки и позволяя атрибутировать ее до хакерской группы и даже конкретных людей, стоящих за ней».

Новой услугой по управлению информационной безопасностью можно воспользоваться, оформив подписку на определенный период. Наличие у провайдера лицензий и сертификатов, соответствующих требованиям российского законодательства, делает сервис привлекательным и для таких потенциальных клиентов, как госпредприятия и субъекты критической инфраструктуры (КИИ).

Уровень киберугроз для промышленных предприятий и госсектора в текущем году эксперты GIB оценили как критический или очень высокий. В частности, ожидается рост количества целевых атак с использованием шпионских программ, зловредов, ориентированных на IoT, а также программ-шифровальщиков. Суммарный ущерб от последних в 2020 году, согласно GIB, превысил 1 млрд долларов. Объемы продаж доступа к корпоративным сетям тоже сильно выросли — в четыре раза.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »