Kaspersky объявила о бесплатном периоде пилотного внедрения ICS MDR

Kaspersky объявила о бесплатном периоде пилотного внедрения ICS MDR

Выступая на 10-й международной индустриальной конференции Kaspersky Industrial Cybersecurity Conference 2022 в Сочи, Антон Иванов, CTO Kaspersky, объявил о готовности компании предоставлять бесплатный тестовый период для изучения и освоения сервиса ICS MDR по обнаружению киберугроз и реагированию на киберинциденты. Услуга предназначена для предприятий.

 

Киберугрозы для промышленных предприятий

По данным собственной статистики Kaspersky за I квартал 2022 года, 31,8 % индустриальных предприятий хотя бы раз испытывали заражение вредоносными программами. 16,8 % киберугроз были получены ими из внешних источников, около 7 % вредоносных объектов попали на промышленные предприятия через электронную почту или при просмотре интернета. Статистика отражает то, что значительная часть индустриального сегмента не имеет пока полноценной защиты от враждебных действий, считают в Kaspersky.

Как отметил Антон Иванов, многие промышленные компании не обладают необходимым уровнем экспертизы, чтобы закрывать возникающие уязвимости. Ситуация ухудшилась в последнее время из-за падения доверия к западным поставщикам ИБ-решений после их ухода. Компаниям требуется доверенный партнёр, который не бросит заказчика, будет предоставлять обновления и сервис, помогать в разрешении различных инцидентов.

 

Сервис управляемой безопасности ICS MDR

Антон Иванов отметил, что компания Kaspersky обладает пакетной экспертной квалификацией (которую готова предоставлять заказчикам) для проведения киберразведки. Это позволяет оценивать ситуацию, понимать, откуда идёт атака, эффективно отражать её. 

Компания ежедневно детектирует в глобальном масштабе появление около 380 тысяч новых вредоносных файлов. На выявлении угроз занято более 200 ведущих международных исследователей в области кибербезопасности. Разработанная технология позволяет собирать информацию по киберразведке и автоматически импортировать её в межсетевые экраны.

Для внедрения сервиса достаточно приобрести лицензию и установить определённые плагины. Они будут передавать телеметрию из компании-клиента на сторону вендора. Kaspersky предоставляет портал или центр управления, ИБ-служба компании получает ссылку на чат аналитиков Kaspersky, где можно решать текущие вопросы.

 

Анализ телеметрии, как сообщил Антон Иванов, ведётся в автоматическом режиме на базе информации от отдела глобальных исследований Kaspersky, ICS CERT, SOC-аналитиков.

В настоящее время используется более 1100 правил, написанных экспертами. Это позволяет увидеть практически все угрозы, которые встречаются на практике. Правила обновляются в автоматическом режиме.

Постоянно ведётся модернизация алгоритма обнаружения угроз. Используется ИИ, который переобучает модели и позволяет обновлять правила.

 

Внедрение ICS MDR

Сервис ICS MDR предусматривает выделение для компании инженера SOC Kaspersky. Он будет контролировать сбор информации об инцидентах от заказчика, изучать собираемые данные и предотвращать инциденты. Заказчики смогут получать отчёты с информацией об обнаруженных угрозах. Компания будет также получать автоматические сценарии реагирования (плейбуки) для предотвращения угрозы. При необходимости отделу ИБ будет предоставляться полноценная консультация: что необходимо сделать, где установить необходимый продукт, какие действия необходимо осуществить для противодействия выявленной угрозе.

Сервис ICS MDR рассчитан на компании, у которых нет полноценного SOC. Kaspersky готова предоставить сервис SOC «под ключ» с хорошим SLA.

Как заявил Антон Иванов, инциденты высокого приоритета будут устраняться в течение часа (90 % случаев выявления). Для инцидентов среднего уровня угрозы время реагирования не будет превышать 4 часов, для низкоприоритетных — 24 часов. По опыту Kaspersky, инциденты низкого порядка не влияют на работоспособность и не несут критического риска для инфраструктуры заказчика.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Шифровальщик Diavol вернулся, сменив визуальные IoC

После долгого перерыва на VirusTotal вновь стали множиться образцы вымогательской программы Diavol. Анализ новейших из них показал, что вредонос стал 64-битным, сменил имя записки с требованием выкупа и добавляемое расширение, но файлы шифрует по-прежнему — с помощью XOR и RSA.

В ИБ-сообществе считают Diavol творением создателей TrickBot, влившихся в сообщество Conti. После распада преступного синдиката сторонний шифровальщик затих, а теперь, видимо, возобновил атаки. Специалисты по реверс-инжинирингу изучили новые семплы и пришли к выводу, что в некоторых случаях восстановление файлов все еще возможно.

В рамках обновления операторы зловреда изменили расширение, добавляемое к зашифрованным файлам, — вместо прежнего .lock64 используется .bully. Записка, оставляемая на машине жертвы, теперь именуется WARNING.txt (на самом деле новое название файла всплыло еще в ноябре прошлого года, а текст в нынешнем виде появился в минувшем июне).

Система шифрования данных осталась прежней — XOR + RSA, но она настолько необычна, что исследователи разобрали ее и в мартовском блоге, и сейчас. Перед началом процесса Diavol генерирует и сохраняет в теле ключ длиной 2048 байт для выполнения операций XOR над данными (уникален для каждой жертвы, но один для всех ее файлов).

Затем вредонос начинает в цикле дробить файлы на блоки по 2048 байт, отбрасывая остаток. После этого ко всем считанным блокам применяется XOR, итог записывается обратно в обрабатываемые файлы.

 

В конец файла записываются XOR-ключ, зашифрованный по RSA (публичный ключ хранится в коде зловреда), а также объем обработанных данных — число также кодируется разовым прогоном XOR.

К сожалению, это еще не все. Завершив первый этап, вредонос возвращается к началу файла и начинает считывать блоки 0x75 байт, шифровать их по RSA с возвратом результата в тот же файл, но без добавления ничего не значащих данных (паддинга).

Такой способ шифрования, по мнению исследователей, вселяет надежду. Получив XOR-ключ, можно без особого труда вернуть содержимое многих файлов — за исключением первых 1170 байт, которые придется отстраивать заново.

Напомним, жертвы Diavol могут также воспользоваться бесплатным декриптором, который уже доступен на сайте No More Ransom.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru