Взломщики российских компаний отключают антивирусы, чтобы скрыть атаку

Татьяна Никитина 29 Января 2025 - 18:01

Таргетированные атаки

...

Взломщики российских компаний отключают антивирусы, чтобы скрыть атаку

В рунете объявилась кибергруппа, которая после проникновения в корпоративные сети отключает антивирусную защиту, чтобы скрыть вредоносную активность. Эксперты ГК «Солар» зафиксировали подобные атаки в сфере промышленного производства.

Для взлома систем и загрузки инструментов блокировки защитных решений злоумышленники используют уязвимости.

Так, в одном из случаев им помог интернет-доступ к софту DameWare Mini Remote Control; соответствующий порт, по всей видимости, остался открытым со времен пандемии ковида. После взлома авторы атаки поместили зловреда в директорию агента администрирования антивируса Kaspersky и с его помощью нейтрализовали защиту.

Анализ образца выявил функцию отключения механизма MiniFilter, который многие антивирусные решения используют для сбора данных об операциях в файловой системе Windows и анализа поведения программ.

В ходе данной атаки на Windows вредоносный драйвер создал свой мини-фильтр и осуществил подмену, заблокировав ИБ-продукту возможность мониторинга. Об инциденте сообщили в «Лабораторию Касперского», там доработали самозащиту и выпустили обновления.

Был также зафиксирован случай, когда взломщикам удалось отключить антивирус из-за некорректного взаимодействии Windows с цифровыми подписями драйверов. В результате атаки ИТ-инфраструктура жертвы была выведена из строя.

«Последнее время атакующие все чаще применяют инструменты, позволяющие отключать и обходить средства защиты, поставляемые различными вендорами, — констатирует эксперт Solar 4RAYS Дмитрий Маричев. — Подходы и техническая реализация отличаются лишь деталями, например, именами файлов их компонентов. Чтобы вовремя пресечь подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений и контролировать, идет ли с них телеметрия. Кроме того, важно периодически проводить оценку компрометации, что значительно повышает шансы выявить атаку до наступления серьезных последствий».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 20 Июня 2025 - 18:13

BI.ZONE TDR Малый и средний бизнес Корпорации Системы управления доступом (IdM/IAM)Выявление угроз для учётных данных и реагирование на них (ITDR) BI.ZONE

BI.ZONE предложила возврат денег за мониторинг при пропущенном инциденте

С августа 2025 года компания BI.ZОNE вводит новые условия для клиентов своего сервиса мониторинга и реагирования на киберинциденты (TDR). Если специалисты компании не успеют зафиксировать инцидент до того, как он причинит реальный ущерб, клиент сможет потребовать возврат стоимости услуги за соответствующий период.

Об этом представители BI.ZONE сообщили на Петербургском международном экономическом форуме (ПМЭФ-2025).

Возврат будет возможен, если инцидент повлёк за собой конкретные последствия: например, утечку данных, остановку бизнес-процессов или шифрование информации. При этом у компании-клиента должно быть выполнено несколько условий:

инцидент должен попасть в зону покрытия мониторинга;
заказчик предоставил всю необходимую информацию об инфраструктуре;
защита осуществлялась с использованием решения BI.ZONE EDR;
клиент следовал рекомендациям по реагированию;
инфраструктура не была взломана до подключения к сервису.

На рынке давно обсуждается необходимость такой ответственности со стороны провайдеров — и, по данным опроса издания «АМ Медиа», каждая пятая компания ждёт от подрядчика по ИБ финансовых гарантий в случае пропуска инцидента.

BI.ZONE — одна из первых российских компаний, которые формализовали подобные условия публично.