Группировка Librarian Ghouls атакует российские компании по ночам

Группировка Librarian Ghouls атакует российские компании по ночам

Группировка Librarian Ghouls атакует российские компании по ночам

Киберпреступная группировка с говорящим названием Librarian Ghouls вот уже несколько месяцев устраивает ночные набеги на российские компании и организации. Главная цель — получить удалённый доступ к системам и учетным данным.

Как сообщили 9 июня специалисты «Лаборатории Касперского» (слова приводит ТАСС), атаки идут с декабря 2024 года — обычно с часа ночи до пяти утра.

Сценарий стандартный: сначала жертве присылают фишинговое письмо с архивом, внутри которого — вредоносный код.

Стоит только открыть файл — на компьютер попадает программа, через которую можно управлять системой извне.

Дальше — тише воды. Злоумышленники действуют скрытно, чтобы их не заметили. Устанавливают шпионский софт, а потом запускают ещё и майнер для добычи криптовалюты.

Всё это работает до первой перезагрузки компьютера, после чего активность временно прекращается. Но к тому моменту вред уже нанесён: данные похищены, следы стерты, остаётся только работающий майнер.

Специалисты отмечают, что после передачи информации злоумышленники стирают всё, что связано с атакой, и удаляются из системы, будто их там и не было.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В PT NAD 12.3 добавили плейбуки и снизили требования к «железу»

Positive Technologies выпустила новую версию системы поведенческого анализа сетевого трафика PT Network Attack Discovery — 12.3. В обновлении повысили производительность, добавили облачное хранилище для метаданных, расширили возможности централизованного мониторинга и внедрили плейбуки для реагирования на инциденты.

Среди ключевых изменений — прирост производительности на 30% и оптимизация работы на слабонагруженных системах. Требования к «железу» снизились: нагрузка на CPU уменьшилась на треть, а потребности в оперативной памяти и SSD — вполовину.

Это особенно актуально для небольших инсталляций, например, с пропускной способностью 1 Гбит/с.

Обновили центральную консоль: теперь через неё можно скачивать дампы трафика и файлы, управлять ролями узлов, переименовывать их, отключать отслеживание активности и менять её статус. В планах — реализовать централизованное управление исключениями и базой знаний, чтобы упростить администрирование в распределённых сетях.

Появилась возможность хранить метаданные не только локально, но и в «облаке» — публичном или частном. Это даёт больше гибкости и позволяет платить только за реально используемый объём хранилища.

Добавлены новые инструменты для SOC: обновлённые модули анализа, репутационные списки и плейбуки — подробные инструкции по действиям при срабатывании сигнатур и активностей. Они включают описание атак и примеры из практики, что должно помочь операторам быстрее реагировать на угрозы.

Также система теперь умеет индексировать нестандартные поля заголовков HTTP, что пригодится при расследованиях и проактивном поиске угроз. В части интеграций улучшена работа с SIEM-системами: по syslog теперь можно передавать больше информации об атаках. Кроме того, появилась поддержка персональных токенов доступа PT MC, что упростит работу с API, в том числе из скриптов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru