Киберпреступные группировки стали активно применять для взлома корпоративных сетей широко используемые в профессиональной среде инструменты удалённого управления и администрирования. Об этом свидетельствуют данные «Лаборатории Касперского», подчёркивающей, что таким образом злоумышленники пытаются скрывать следы своей деятельности.
Так, в почти трети инцидентов (30%), к расследованию которых привлекались эксперты компании в 2019 году, было задействовано легитимное ПО, предназначенное для выполнения задач системного администрирования и диагностики. Самый распространённый инструмент — PowerShell — применялся в каждой четвёртой атаке. В 22% случаев хакерами использовалась утилита PsExec, предназначенная для запуска программ на удалённых компьютерах. Замыкает топ-3 инструмент SoftPerfect Network Scanner, применяемый для сканирования сетей. Он использовался в 14% атак.
«Применение злоумышленниками легитимных инструментов усложняет процесс обнаружения их деятельности, ведь с помощью подобного ПО могут выполняться и рядовые задачи, и несанкционированные действия», — говорится в исследовании «Лаборатории Касперского».
Чтобы минимизировать вероятность использования легитимных инструментов для совершения кибератак, «Лаборатория Касперского» рекомендует:
- ограничить доступ к инструментам удалённого управления с внешних IP-адресов и убедиться в том, что использование подобного рода решений может быть осуществлено с ограниченного количества конечных устройств;
- ввести строгую политику паролей для всех IT-систем и мультифакторную аутентификацию;
- предоставлять учётные записи с высокими привилегиями только тем пользователям, которым они действительно нужны для выполнения рабочих задач.
