В мае 2024 года, специалисты центра по исследованию киберугроз Solar 4RAYS из группы компаний «Солар» провели расследование, которое показало, что хакеры воспользовались уязвимостью Windows для проникновения в инфраструктуру компании. Они внедрили вредоносный драйвер, который успешно отключил антивирусное программное обеспечение, что позволило атакующим беспрепятственно зашифровать ключевые системы компании и частично разрушить виртуализационные серверы, нанеся значительный ущерб.
Атака произошла в апреле 2024 года. Хакеры получили доступ к сети промышленной компании через скомпрометированную учетную запись подрядчика, используя протокол удаленного рабочего стола (RDP). Благодаря этому доступу они смогли проникнуть в ключевые корпоративные системы. Однако перед тем как нанести ущерб, злоумышленники деактивировали защитное ПО, чтобы их активность не могла быть обнаружена или заблокирована.
Использованная хакерами уязвимость в Microsoft Windows известна с 2022 года. В ответ на растущие угрозы компания внедрила обязательное требование к цифровой подписи любого программного обеспечения, которое получает доступ к ядру операционной системы. Это требование касалось и драйверов, чтобы ограничить возможность злоумышленников использовать вредоносные программы. Без цифровой подписи Windows 10, начиная с версии 1607, не разрешает запуск новых драйверов. Однако, чтобы сохранить совместимость с устаревшим оборудованием, были введены некоторые исключения. Одним из таких исключений является использование сертификатов, выданных до 29 июля 2015 года. Хакеры воспользовались этим исключением, подделав временную метку сертификата старого китайского производителя, чтобы внедрить вредоносный драйвер.
В ходе расследования специалисты Solar 4RAYS обнаружили два различных вредоносных ПО в сети жертвы. Одно из них анализировало наличие антивирусных программ, а другое, действуя на уровне ядра системы, деактивировало их. Все найденные угрозы были устранены, и компании были даны рекомендации по устранению уязвимостей и улучшению киберзащиты.
«Этот метод позволяет хакерам отключать не только антивирусные программы, но и любое другое ПО, что дает им полный контроль над атакуемой инфраструктурой. Ранее подобные атаки были характерны для кибергруппировок из Азии, однако теперь мы видим их активное распространение среди других регионов, особенно в Восточной Европе, где злоумышленники часто нацелены на полное разрушение инфраструктуры. Чтобы обнаружить подобные атаки на ранней стадии, необходимо регулярно проверять работу защитных решений. Если определенное ПО перестает отправлять телеметрию, это повод для проверки. Также стоит проводить периодическую оценку на предмет компрометации, что увеличивает шансы предотвратить серьезные последствия», — отметил Иван Сюхин, руководитель группы расследований инцидентов Solar 4RAYS из ГК «Солар».
Оригинальная статья - Хакеры зашифровали корпоративные системы через уязвимость Windows сайта Сервисный центр Volt-PC.