Ուրվական մայները գրոհում է կորպորատիվ ցանցերը

08.08.18 | 21:39

«Կասպերսկի Լաբորատորիա»-ի փորձագետները հայտնաբերել են մայներ, որի թիրախն առաջին հերթին կորպորատիվ ցանցերն են։ PowerGhost վնասաբեր ծրագիրն անֆայլ է, ինչը դրան թույլ է տալիս աննկատ հաստատվել զոհի աշխատանքային կայանում կամ սերվերում։ «Կասպերսկի Լաբորատորիա»-ն ամենից շատ գրոհներ է հայտնաբերել Հնդկաստանում, Թուրքիայում, Բրազիլիայում և Կոլումբիայում։

Թափանցելով ընկերության ենթակառուցվածք, PowerGhost-ը փորձում է ստանալ ցանցի օգտատերերի հաշվեգրերը հեռավար ադմինիստրավորման օրինական Windows Management Instrumentation (WMI) գործիքի միջոցով։ Վնասաբեր ծրագիրն անհրաժեշտ մուտքանունները և գաղտնաբառերն ստանում է տվյալների կորզման ներկառուցված Mimikatz գործիքի օգնությամբ։ Բացի այդ՝ մայները տարածվում է Windows-ի EternalBlue էքսպլոյտի միջոցով, որն օգտագործել են WannaCry-ի և ExPetr-ի հեղինակները։ Տեսականորեն այդ խոցելիություն արդեն ավելի քան մեկ տարի փակ է։ Սակայն գործնականում ինչ-որ պատճառով այն շարունակում է աշխատել, հայտնում են «Կասպերսկի Լաբորատորիա» ընկերության Հայաստանի ներկայացուցչությունից:

Հայտնվելով սարքում՝ վնասաբեր ծրագիրը փորձում է մեծացնել իր արտոնությունները՝ օգտվելով օպերացիոն համակարգի մի քանի խոցելիություններից (տեխնիկական մանրամասներին կարելի է ծանոթանալ այստեղ)։ Դրանից հետո մայները հաստատվում է համակարգում և սկսում կրիպտոարժույթի մայնինգն իր տերերի համար:

Ինչպես և ցանկացած մայներ, PowerGhost-ն օգտագործում է օգտատիրոջ սարքավորման ռեսուրսները կրիպտոարժույթի գեներացիայի համար։ Դա, մի կողմից, նվազեցնում է սերվերների և այլ սարքերի արտադրողականությունը, իսկ մյուս կողմից՝ նշանակալի կերպով արագացնում է դրանց մաշվելը, ինչը հանգեցնում է սարքավորումների փոխարինման համար լրացուցիչ ծախսերի։

Սակայն, նման ծրագրերի մեծամասնության համեմատ, PowerGhost-ն ավելի բարդ է հայտնաբերել, քանի որ այն սարք չի ներբեռնում վնասաբեր ֆայլերը։ Նշանակում է՝ այն ի զորու է ավելի երկար աննկատ աշխատել ընկերության սերվերում կամ աշխատանքային կայանում ու ավելի մեծ վնաս հասցնել։

Բացի այդ, վնասաբեր ծրագրի տարբերակներից մեկում «Կասպերսկի Լաբորատորիա»-ի փորձագետները հայտնաբերել են DDoS-գրոհների գործիք։ Այլ զոհի ռմբահարման համար ընկերության սերվերների օգտագործումը կարող է վատ անդրադառնալ դրանց հասանելիության վրա, դանդաղեցնել կամ նույնիսկ կանգնեցնել արտադրական գործընթացը։ Հետաքրքրական է, որ վնասաբեր ծրագիրը կարողանում է ստուգել, արդյոք ինքը գործարկվում է իսկական օպերացիոն համակարգում թե «ավազարկղում». դա նրան թույլ է տալիս շրջանցել ստանդարտ պաշտպանական լուծումները։

PowerGhost-ի և նման վնասաբեր ծրագրերի գրոհներից սարքերը պաշտպանելու համար անհրաժեշտ է մանրազնին հետևել կորպորատիվ ցանցերի անվտանգությանը՝ հետևելով կիբեռանվտանգության փորձագետ, Հայաստանում և Վրաստանում «Կասպերսկի Լաբորատորիա»-ի տարածքային ներկայացուցիչ Արմեն Կարապետյանի խորհուրդներին.

· Բաց մի թողեք ծրագրային ապահովման և օպերացիոն համակարգերի թարմացումները։ Այս մայների կողմից օգտագործվող խոցելիություններն արդեն վաղուց փակվել են արտադրողների կողմից։ Վիրուս գրողների մշակումները, ըստ էության, հիմնվում են արդեն վաղուց ուղղված խոցելիությունների էքսպլոյտների վրա։

· Բարցրաձրեք աշխատակիցների իրազեկվածության մակարդակը։ Հիշեք, որ շատ կիբեռմիջադեպեր տեղի են ունենում մարդկային գործոնի պատճառով։

· Աշխատանքային սարքերում կիրառեք հուսալի պաշտպանական միջոցներ, որոնք ներառում են ըստ ծրագրերի վարքի վերլուծության տեխնոլոգիաներ. անֆայլ սպառնալիքներն այլ կերպ չեն հայտնաբերվում։ «Կասպերսկի Լաբորատորիա»-ի՝ ձեռնարկությունների համար նախատեսված պրոդուկտները հայտնաբերում են ինչպես բուն PowerGhost-ը, այնպես էլ դրա առանձին բաղադրիչները, ինչպես նաև շատ այլ վնասաբեր, այդ թվում՝ նախկինում անհայտ ծրագրեր։