В недавнем отчете компании Huntress было выявлено, что операторы программ-вымогателей вернулись к использованию софта для удаленного доступа TeamViewer в атаках на организации. О методах выявления вредоносной активности через анализ поведения пользователей рассказал киберэксперт Дмитрий Овчинников.
Киберпреступники снова используют TeamViewer, легитимный инструмент удаленного доступа, для первоначального проникновения на корпоративные устройства и попыток развертывания шифровальщиков.
Huntress пишет, что в цепочке атаки злоумышленники проникли в целевую систему с помощью TeamViewer и пытались развернуть вредоносную полезную нагрузку с помощью батника «PP.bat», который запускал вредоносный DLL-файл через команду rundll32.exe.
«Одним из способов проникновения в локальную сеть предприятия является атака на компьютеры пользователей в сети. Такого рода атаки обычно совершаются при помощи комбинации распространения вредоносного когда, фишинговых сообщений и методов социальной инженерии. Набор готовых инструментов для совершения атак можно купить в Даркнете, что позволяет совершать подобные атаки киберпреступникам, не обладая глубокими знаниями. Однако, от этого атаки не становятся менее опасными. Одним из основных трендов в защите конечных точек в сети в последние годы стали продукты класса UEBA, которые позволяют проводить аналитику поведения действий пользователя, выявлять аномалии в поведении и детектировать атаки на ранних стадиях. Например, отечественная разработка Ankey ASAP, позволяет защитить информационные ресурсы от злоумышленников, и благодаря использованию модуля поведенческой аналитики, также может защищать от уязвимостей нулевого дня», – говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.