Подписанные Microsoft драйверы используются для внедрения шифровальщиков

Татьяна Никитина 14 Декабря 2022 - 17:22

Домашние пользователи

Программы-шифровальщики

Уязвимости программ

Целевые атаки

Таргетированные атаки

...

Подписанные Microsoft драйверы используются для внедрения шифровальщиков

Эксперты SentinelOne, Mandiant и Sophos зафиксировали целевые атаки, в ходе которых для отключения защиты конечных устройств использовались вредоносные драйверы режима ядра с подлинной подписью Microsoft. В некоторых случаях после проникновения в сеть злоумышленники внедряли в нее шифровальщика — Cuba или Hive.

Получив сообщения об абьюзах, техногигант отозвал скомпрометированные сертификаты, приостановил действие нескольких аккаунтов разработчика, открытых в рамках партнерской программы, и обновил блок-лист Microsoft Defender (1.377.987.0 и новее). Пользователям рекомендуется установить декабрьские накопительные обновления для Windows и удостовериться, что используемые антивирусы и EDR активны и получили последние апдейты.

При разборе кибератак, о которых сообщили в Microsoft, был обнаружен новый тулкит, состоящий из двух компонентов: загрузчика STONESTOP и драйвера ядра POORTRY. Первый представляет собой приложение режима пользователя, которое пытается прибить защитные продукты из вшитого списка (завершить процессы и удалить файлы). Поскольку ИБ-софт обычно огражден от вмешательства на уровне пользователя, в систему устанавливается подписанный POORTRY, позволяющий повысить привилегии.

В Sophos зафиксировали использование этого тулкита разными киберпреступниками. Одну из таких атак удалось пресечь до развертывания финальной полезной нагрузки; в ИБ-компании с высокой степенью уверенности полагают, что целью злоумышленников было внедрение в сеть шифровальщика Cuba.

Эксперты SentinelOne обнаружили данный тулкит в атаках против телеком-провайдеров, аутсорсеров бизнес-процессов, финансистов, поставщиков услуг по управлению ИБ. Зафиксирован случай, когда злоумышленники, проникнув сеть медучреждения, попытались запустить туда Hive.

В Mandiant наблюдали использование тулкита в августовских атаках UNC3944 — кибергруппы, с мая промышляющей сим-свопингом. Эти преступники обычно получают доступ к сети с помощью учетных данных, украденных посредством смишинга.

При загрузке драйвера ядра в Windows он получает самые высокие привилегии. Злоупотребление этой возможностью позволяет атакующему совершать действия, недоступные обычному пользователю: завершать процессы ИБ-программ, удалять защищенные файлы, выполнять функции руткита.

Начиная с Windows 10, к драйверам режима ядра предъявляется дополнительное требование — обязательное наличие цифровой подписи, получаемой в соответствии с Windows Hardware Developer Program (WHDP). С октября 2020 года введена блокировка некорректно подписанных драйверов, и многие ИБ-платформы автоматически доверяют кодам, подписанным Microsoft — чем и пользуются злоумышленники.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 12:41

Соответствие законодательству РФ Общее

В России могут обязать предустанавливать отечественный ИИ на смартфоны

В России рассматривают возможность обязать производителей предустанавливать отечественные ИИ-сервисы на смартфоны и другую электронику. Эту норму могут включить в готовящийся закон о регулировании искусственного интеллекта, сообщают «Известия» со ссылкой на материалы правительства.

По данным издания, Минцифры должно представить документ на согласование в правительство к концу февраля. Детали инициативы пока прорабатываются, но идея в целом продолжает логику уже действующего закона о предустановке российского ПО, который применяется с 2021 года.

В аппарате вице-премьера Дмитрия Григоренко подчеркнули, что предустановка отечественных сервисов — один из способов укрепления технологической независимости. По их словам, у России уже есть собственные маркетплейсы, браузеры, антивирусы и сервисы госуслуг, а теперь — и большие языковые модели. Пользователи должны иметь возможность пользоваться такими решениями по умолчанию.

Сейчас ИИ в смартфонах постепенно становится стандартом. По оценке Mobile Research Group, в 2025 году он был предустановлен примерно на 7% продаваемых в России устройств, а к концу 2026-го доля может вырасти до 10%. Наиболее активно ИИ-функции развивают Samsung и ряд китайских производителей.

Участники рынка считают, что технически внедрить такую норму возможно — опыт обязательной предустановки российского софта уже есть. Однако эксперты предупреждают: отечественным разработчикам придётся конкурировать с зарубежными ИИ-продуктами, которые уже встроены в устройства и активно развиваются.

По словам специалистов, успех будет зависеть от качества решений. Если российские ИИ-сервисы предложат удобные голосовые ассистенты, продвинутую обработку фото и видео, работу офлайн или глубокую интеграцию с популярными сервисами, они смогут завоевать аудиторию. В противном случае пользователи просто удалят ненужные приложения — как это часто происходит и сейчас.

Некоторые эксперты отмечают, что россияне уже активно пользуются ИИ на смартфонах, просто не всегда это осознают — например, общаясь с чат-ботами банков или госструктур.

Будет ли предустановка обязательной и в каком именно виде — станет ясно после публикации законопроекта. Пока речь идёт о проработке механизма и сборе предложений.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »