Эксплойт-пак RIG вновь штурмует Internet Explorer, в трети случаев успешно

Татьяна Никитина 28 Февраля 2023 - 18:50

...

Эксплойт-пак RIG вновь штурмует Internet Explorer, в трети случаев успешно

По данным ИБ-компании Prodaft, операторы RIG в среднем совершают по 2000 попыток эксплойта в сутки. Показатель успеха в конце прошлого года достиг рекордного для этой угрозы уровня — 30%.

Исследователи получили доступ к веб-панели бэкенда RIG и обнаружили, что набор эксплойтов по-прежнему используется для распространения инфостилеров, банковских троянов, вредоносных загрузчиков. Из программ-шифровальщиков в списке доставляемых зловредов засветился Royal.

Эксплойт-пак RIG, нацеленный в основном на уязвимости в Internet Explorer, объявился в интернете в 2014 году. Он предоставляется в пользование как услуга; в атаках используются вредоносная реклама (malvertising), редиректы и прокси-серверы.

Промежуточные и лендинг- страницы обычно размещаются в доменах, создаваемых по методу domain shadowing. Злоумышленники взламывают аккаунт владельца «чистого» домена и регистрируют от его имени множество поддоменов, которые впоследствии сменяются с высокой ротацией.

Услугами теневого сервиса активно пользовались распространители шифровальщиков (CryptoBit, Cerber, CryptoMix), банкеров (Dridex, Ursnif), инфостилеров (AZORult, Raccoon, Redline). В 2017 году ИБ-эксперты совместными усилиями попытались разрушить инфраструктуру RIG; удар оказался сильным: эксплойт-пак надолго выпал из обоймы, его владельцы даже решили свернуть операции.

Тем не менее в прошлом году RIG вернулся в новой версии (2.0), пополнив арсенал более актуальными эксплойтами для IE — CVE-2021-26411 и CVE-2020-0674. Первый, по словам экспертов, оказался наиболее успешным: попытки его применения влекут заражение почти в половине случаев. Чаще прочих данным набором эксплойтов пользуются распространители Dridex, Raccoon и SmokeLoader.

Согласно статистике Prodaft, за время своего существования RIG собрал трафик из 207 стран. В 2021 году большое количество успешных эксплойтов было зафиксировано в России, Египте, Мексике, Бразилии, Саудовской Аравии и Турции.

Остается надеяться, что в скором времени RIG увянет естественным образом: он сфокусирован на Internet Explorer, а срок поддержки этого браузера истек прошлым летом. Две недели назад Microsoft начала принудительно отключать его в Windows 10, заменяя более современным Edge.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 04 Сентября 2025 - 19:57

Эксплойты Фишинг Уязвимости программ Утечки информации Умышленные утечки информации Инсайдеры Малый и средний бизнес Корпорации Информзащита

Атаки на ERP-системы в 2025 году выросли на 43%

В первой половине 2025 года количество атак на ERP-системы подскочило почти на половину — рост составил 43% по сравнению с прошлым годом. Об этом сообщили специалисты «Информзащиты». ERP сегодня — это «сердце» бизнеса: от клиентских данных до финансовых потоков, поэтому неудивительно, что именно они стали любимой целью хакеров.

Эксперты связывают всплеск атак с массовым переходом на онлайн-документооборот, быстрым внедрением сервисов без должной защиты и доступностью «готовых решений» для взлома в даркнете.

Теперь даже не слишком опытные злоумышленники могут атаковать бухгалтерские и ERP-системы, просто оформив подписку на такие инструменты.

Как атакуют

Фишинг остаётся на первом месте — 46% случаев. Сотрудникам приходят письма якобы от руководителей или партнёров, где их вынуждают выдать логины и пароли или установить вредонос.
Уязвимости и ошибки конфигурации — 33%. Это и слабые пароли, и устаревшие версии софта, и небезопасные интеграции.
Инсайдеры — около 18%. Доступ сотрудников или подрядчиков используется для подмены реквизитов и кражи данных.
Готовые наборы инструментов — около 22% атак, причём они часто комбинируются с другими методами.

Попав в систему, злоумышленники меняют банковские реквизиты, создают фиктивные заказы, инициируют платежи. Ущерб компании часто проявляется только спустя время, когда деньги уже потеряны.

Кто под ударом

Чаще всего атакуют финансовый сектор (38%), торговлю и дистрибуцию (27%), промышленность (21%) и сферу услуг (14%). Последствия ощутимы: не только прямые убытки, но и сбои бизнес-процессов, потеря доверия партнёров и юридические проблемы.

Что говорят эксперты

«ERP ещё недавно считались неприступной крепостью бизнеса, а теперь стали слабым местом. Удобство и скорость внедрения часто важнее безопасности, и это оборачивается потерями и утечками», — объясняет Шамиль Чич, эксперт центра IZ:SOC компании «Информзащита».

Как защититься:

жёстко контролировать права доступа и регулярно пересматривать их;
вести журналы изменений и аудировать логи;
проверять критичные транзакции через независимые каналы — например, ЭП или двухфакторку;
сегментировать сеть, изолируя ERP от других систем;
обучать сотрудников распознавать фишинг и подозрительные действия.

Эксперты уверены: только комплексный подход позволит снизить риски и сохранить ERP-системы в безопасности.