Проукраинские хакеры воспользовались неустранимой уязвимостью Windows

Проукраинские хакеры воспользовались неустранимой уязвимостью Windows

Проукраинские хакеры воспользовались неустранимой уязвимостью Windows

Инцидент произошел еще в мае 2024 г. Его расследование показало, что, обойдя защиту, киберпреступники смогли зашифровать ряд корпоративных систем и частично разрушили серверы виртуализации, нанеся колоссальный ущерб компании.

Злоумышленники воспользовались недостатком систем Windows, связанным со взаимодействием с цифровыми подписями драйверов.

Злоумышленники проникли в сеть промышленной компании через взломанную учетную запись подрядчика.  С хоста подрядчика по удаленному рабочему столу (RDP) они получили доступ к ряду систем. Но, прежде чем совершать деструктивные действия, хакеры смогли отключить защитные системы, чтобы их действия невозможно было обнаружить и заблокировать.

Злоумышленники воспользовались тем, что Microsoft сделала исключения при реализации запущенной в 2022 г политики обязательной цифровой подписи драйверов. Процедура обязательной проверки не работала для драйверов, выпущенных до определенной даты (29 июня 2015 г.). Нападавшие «состарили» сертификат одного из производителей электроники, что позволило обойти требования системы.

В процессе исследования атакованных серверов компании эксперты Solar 4RAYS обнаружили два образца вредоносной программы, один из которых искал в системе признаки присутствия защитного решения, а другой — отключал его командой из режима ядра. По итогам расследования все вредоносы были удалены из инфраструктуры, а компания получила рекомендации о дальнейших действиях по закрытию уязвимостей, которыми воспользовались хакеры.

«Подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре. Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угрозу. Для того, чтобы вовремя «отловить» подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений. Если с какого-то ПО не идет телеметрия — это очевидный повод его проверить. Кроме того, важно периодически проводить оценку компрометации. Такая проверка повышает шансы выявить атаку до наступления серьезных последствий», — сказал Иван Сюхин, руководитель группы расследований инцидентов Solar 4RAYS ГК «Солар».

Напомним, в прошлом году мы анализировали, как взлом сертификационного центра Microsoft поставили на поток.

Кибератаки на российскую промышленность выросли почти на треть

Российскую промышленность в 2026 году продолжают активно проверять на прочность. По данным «Лаборатории Касперского», в первом полугодии число обнаруженных и предотвращённых ИБ-инцидентов в отрасли выросло на 31% по сравнению с тем же периодом 2025 года. Особенно досталось транспортно-логистическому сектору.

Там количество атак подскочило сразу на 75%, а инцидентов высокой критичности стало больше на 30%.

Более того, доля серьёзных инцидентов в логистике оказалась почти на 50% выше среднего уровня по России. Если где-то киберугрозы стучат в дверь, то в логистике они уже пытаются вынести её плечом.

Среди главных угроз для промышленности остаются шифровальщики. По данным Kaspersky ICS CERT, в первом квартале 2026 года доля компьютеров, столкнувшихся с такими вредоносными программами, выросла на 97% год к году.

Также заметно прибавили шпионские программы, бэкдоры и кейлоггеры: их блокировали на 50% чаще. Отдельно эксперты отмечают вредоносы для AutoCAD — их доля составила 16%.

Злоумышленники атакуют промышленность не только ради выкупа. В логистике кибервзлом может закончиться вполне физической кражей грузов: преступники пытаются скомпрометировать участников цепочки, искать инсайдеров, фишить сотрудников и использовать уязвимости IoT-устройств на складах и транспорте.

Ещё одно направление — кибершпионаж. У предприятий пытаются украсть технологическую документацию, данные о мощностях, результаты НИОКР и другую информацию, которую явно не выкладывают в презентациях для партнёров.

Растут и риски для OT-систем, которые хотя бы эпизодически имеют доступ к интернету. В первом квартале доля компьютеров АСУ ТП, где обнаружили угрозы из сети, выросла на 6%.

ИИ тоже уже в деле. Одни группировки используют чат-ботов для переговоров о выкупе, другие маскируют вредоносы под ИИ-инструменты или применяют LLM при разработке кода. Промышленность цифровизуется, и атакующие, увы, тоже не сидят на кнопочных телефонах.

RSS: Новости на портале Anti-Malware.ru