Проукраинские хакеры проникли в российскую промышленную компанию через взломанную учетную запись подрядчика и воспользовались хорошо известным отсутствием взаимодействия Windows с цифровыми подписями драйверов с 2022 года. Злоумышленники загрузили в сеть вредоносный драйвер, который отключил антивирусное программное обеспечение, после чего им удалось зашифровать ряд корпоративных систем и частично уничтожить серверы виртуализации, нанеся компании огромный ущерб.
Расследование показало, что хакеры использовали технику замены временных меток сертификата, чтобы использовать старый сертификат от китайского производителя электроники, "состарив" его до необходимой степени, чтобы избежать обнаружения операционной системой. Эксперты из Центра исследований киберугроз Solar 4Rays также обнаружили два образца вредоносного ПО, один из которых искал признаки защитного решения, а другой отключал его командой из режима ядра.
Для предотвращения подобных атак эксперт рекомендует регулярно проверять работу решений безопасности, установленных в инфраструктуре, и оценивать степень компрометации системы. Это поможет выявить атаку до наступления серьезных последствий.
]]>
