Центр реагирования на компьютерные инциденты Государственной службы специальной связи и информационной безопасности Азербайджанской Республики провел детальный анализ инцидента, связанного с вредоносным ПО под названием «crypti.exe», которое заразило многочисленные правительственные учреждения. Исследование стартовало после обнаружения аномалий системой MAS (Централизованная антивирусная система), что привело к открытию запроса в системе управления MR-Lab для дальнейшего расследования.
Обнаружение и распространение
Первичные результаты расследования показали, что «crypti.exe» не проявлял явного вредоносного поведения, генерируя криптографическую информацию на основе имени окна родительского процесса. Однако, несмотря на это, зараженная копия «crypti.exe» инфекциировала ряд государственных учреждений, занимающихся криптодобычей.
Методы действия вредоносного ПО
В ходе расследования была обнаружена база данных вредоносного ПО с критически важной информацией. Это привело к очистке и деактивации вредоносного ПО в государственных учреждениях на основании произведенных запросов. Дополнительный анализ выявил следующие сложные методы распространения:
- Сторонняя загрузка DLL библиотеки, использующейся для заражения систем;
- Использование вредоносной библиотеки с именем «printui.dll», замаскированной под обычный системный файл;
- Методы обхода систем «песочницы», включая увеличенный размер вредоносной библиотеки за счет ненужных байт.
Использование PowerShell и PostgreSQL
Вредоносное ПО также использовало скрипты PowerShell и легальные библиотеки, такие как libpq.dll, что дополнительно усложняло его обнаружение. Детальный анализ показал, что вредоносная программа использовала базы данных PostgreSQL для хранения и настройки данных, что способствовало получению критически важной информации.
Глобальные последствия
Кроме того, выявлено, что вредоносная программа успешно заразила значительное количество компьютеров по всему миру. В Азербайджанской Республике зарегистрировано 2485 случаев заражения в различных государственных учреждениях. Вредоносное ПО охватило 135 стран, затрагивая в общей сложности 118 079 компьютеров, что свидетельствует о его широком распространении.
Контрмеры и рекомендации
В ответ на угрозу были приняты различные контрмеры, включая:
- Очистку зараженных систем;
- Обмен информацией с сертификационными центрами в различных странах;
- Введение ограничений на адреса подключений, связанные с вредоносным ПО.
В докладе подчеркивается важность принятия мер кибербезопасности для предотвращения будущих инцидентов и защиты конфиденциальной информации в государственных учреждениях. «Профилактика — это ключ к успеху в борьбе с киберугрозами,» — отмечают эксперты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Распространение вредоносного ПО "crypti.exe": глобальный инцидент".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.