Эксперты одной из компаний, которая специализируется на разработке систем защиты от компьютерных вирусов, зафиксировали новые атаки Andariel. Это атаки северокорейской кибергруппы, которая входит в состав Lazarus.
При атаках они используют модификацию известного ПО DTrack, а также новую программу-вымогатель Maui. Целью кибергруппы являются крупные организации в США, Японии, Индии, Вьетнаме, России и Казахстане.
Andariel не фокусируется на каких-то определенных компаниях, для атакующих главное, чтобы у целевой организации было прочное финансовое положение. Группа ведет свою деятельность более десяти лет и в 2022 году продолжает расширять свой арсенал вредоносного ПО и географию атак. В июльском отчете Агентства по кибербезопасности и защите инфраструктуры США сообщается, что Andariel атаковала государственные и медицинские организации посредством вымогателя Maui.
Также злоумышленники используют шпионскую программу DTrack, которую создала группа Lazarus. Зловред используется для загрузки файлов в системы жертв и скачивания их оттуда, записи нажатия клавиш и проведения других действий, типичных для вредоносного инструмента удаленного администрирования (RAT). DTrack собирает информацию о системе и истории браузера через команды Windows. Злоумышленники могут находиться в целевой сети долгие месяцы, прежде чем начать атаку.
Вымогатель Maui запускался после внедрения в корпоративную сеть зловреда DTrack и использовался для атак на компании в США и Японии.
Чтобы защитить бизнес от атак программ-вымогателей, эксперты напоминают компаниям о необходимости соблюдать следующие меры:
не допускать возможность подключения к службам удаленного рабочего стола (таким как RDP) из общественных сетей; настроить политики безопасности таким образом, чтобы использовать надежные пароли для этих служб;
устанавливать доступные патчи для используемых в компании коммерческих VPN-решений, как только они выходят;
регулярно обновлять все ПО, используемое в компании, чтобы программы-вымогатели не могли эксплуатировать уязвимости;
сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
регулярно создавать резервные копии данных и проверять, что к ним можно быстро получить доступ в случае необходимости.
