Новая киберугроза: антивирусные убийцы
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи из Trend Micro обнаружили еще один опасный инструмент, который используют хакеры для нейтрализации антивирусной защиты до установки вредоносных программ. Речь идет о модифицированной версии открытого исходного кода утилиты RealBlindingEDR.
Данный инструмент содержит заранее прописанный список антивирусных компаний: Trend Micro, Kaspersky (это антивирус "Лаборатории Касперского"), Sophos, SentinelOne, Malwarebytes, Cynet, McAfee, Bitdefender, Broadcom (Symantec), Cisco, Fortinet и Acronis. При запуске на заражённом устройстве утилита сканирует драйверы в поисках этих имен — если находит, то отключает специальные механизмы (kernel-level hooks/callbacks), на которых строится обнаружение угроз. Таким образом, антивирусные решения лишаются возможности ловить вредоносные сигналы, фактически оставаясь слепыми. Более того, исследователи выяснили: хакеры способны вообще удалить антивирус с системы и сделать это максимально незаметно для пользователя.
Впервые подобный инструмент заметили в действии в сентябре 2024 года в руках кибергруппировки Crypto24. Этот коллектив "молод", однако эксперты считают, что его члены — бывшие участники закрытых хакерских объединений, так как наблюдается высокий уровень подготовки и слаженность действий.
После получения доступа и "очистки пути" от антивирусов злоумышленники, как правило, внедряют на целевой компьютер два типа вредоносного ПО: клавиатурный шпион (keylogger) и шифровальщик данных (encryptor). Все украденные секреты оперативно загружаются с помощью специальной утилиты на их облачное хранилище в Google Drive.
На данный момент личность и местонахождение участников Crypto24 остаются неизвестны. Тем не менее, за несколько месяцев существования группа успешно атаковала крупные организации в США, Европе и Азии — среди их жертв финансовые институты, производственные компании, представители IT-сферы и индустрии развлечений.
Для защиты от подобных нападений эксперты советуют переходить к многослойной модели безопасности: использовать антивирус с функциями защиты от несанкционированного вмешательства, подключать режимы постоянной защиты и фаерволы, а также задействовать отдельные программы-антивирусы, которые умеют работать совместно.
На рынке кибербезопасности очередная вспышка — найден новый инструмент для автоматического отключения и удаления антивирусных программ. RealBlindingEDR, модифицированный и снабжённый встроенным списком целевых антивирусных компаний, используется хакерской группировкой Crypto24 для облегчения последующей установки вредоносного ПО. Причём речь идёт не о студентах-любителях — уровень организации и мастерства хакеров указывает на профессионалов с опытом из расформированных коллективов.
Сценарий типовой: сначала инструменты отключают защиту — иногда даже физически удаляя антивирусную защиту с компьютера жертвы, — после чего внедряются кейлоггеры и шифровальщики. Всё, что удалось украсть, уходит в облако Google, что до боли иронично для производителей корпоративных решений по безопасности. География атак широка: крупнейшие компании США, Европы, Азии, специализации — финансы, IT, развлечения, промышленность.
Автор материала — эксперты из Trend Micro — традиционно советуют использовать "многослойную защиту". Стратегия, безусловно, верная, если бы не специфика атаки: многие массовые антивирусные решения после таких инъекций становятся попросту бесполезны. Сепаратные средства защиты, обновления и отключение лишних сервисов станут временной противоядий — но никаких иллюзий: профессиональным группам требуется всё меньше времени на адаптацию. Чем раньше внедрятся инструменты сложной защиты, тем выше шансы на выживание. Проблема системная, а не технологическая: антивирусы давно живут в эпохе покоя, а кибератаки эволюционируют на порядок быстрее.