МОСКВА, 7 авг — ПРАЙМ. Почти треть кибератак проводится с использованием легальных программ, в том числе предназначенных для удаленного запуска софта, показало исследование "Лаборатории Касперского".
"В почти трети кибератак (30%), к расследованию которых привлекалась "Лаборатория Касперского" в 2019 году, были задействованы легитимные инструменты удалённого управления и администрирования. Это позволяет злоумышленникам долго скрывать следы своей деятельности. Так, в среднем атака, проводимая с целью кибершпионажа и кражи конфиденциальных данных, длилась 122 дня", — говорится в документе.
Чаще всего злоумышленники использовали программу администрирования PowerShell (применялся в каждой четвёртой атаке), в 22% атак — предназначенное для удаленного запуска программ на компьютерах приложение PsExec. В тройке самых часто используемых программ оказался SoftPerfect Network Scanner, предназначенный для сканирования сетей — 14% атак.
"Чтобы как можно дольше скрывать свои действия в скомпрометированной сети, атакующие часто используют легитимное ПО, предназначенное для выполнения задач системного администрирования и диагностики. Эти инструменты применяются злоумышленниками для сбора информации о корпоративных сетях и дальнейшего перемещения по сети, внесения изменений в настройки ПО и оборудования или выполнения вредоносных действий, например шифрования данных", — прокомментировал особенности атак руководитель отдела оперативного решения компьютерных инцидентов "Лаборатории Касперского" Константин Сапронов.
Он добавил, что полностью отказаться от подобных программ невозможно, однако, если применять необходимые политики безопасности и системы мониторинга, то подозрительную активность в сети и сложные атаки можно обнаруживать на ранних стадиях.
Эксперты советуют организациям ограничить доступ к инструментам удалённого управления с внешних IP-адресов и убедиться в том, что доступ к интерфейсам удалённого контроля может быть осуществлён с ограниченного количества конечных устройств. Помимо этого рекомендуется ввести строгую политику паролей для всех IT-систем и мультифакторную аутентификацию, а также предоставлять учётные записи с высокими привилегиями только тем пользователям, которым они действительно нужны для выполнения рабочих задач.