Group IB

Эксперты рассказали о ранних признаках возможного заражения вымогательским ПО

29.03.2022
Эксперты рассказали о ранних признаках возможного заражения вымогательским ПО

Вымогательское ПО – одна из самых серьезных угроз безопасности предприятий, однако оно не берется из ниоткуда. По словам специалистов ИБ-стартапа Lumu Technologies, заражению корпоративных сетей программой-вымогателем предшествует появление в них так называемого вредоноса-прекурсора. Обычно это вредоносный код, использующийся для предварительного сбора всей необходимой информации. Он находится в сетях некоторое время и прокладывает путь для дальнейшего их заражения вредоносным ПО, сообщает SecurityLab.

Теоретически, обнаружив и обезвредив этот вредоносный код, компании могут обезопасить себя от последующей атаки вымогателя. Если компания обнаружит, что ее сети связываются с чем-то похожим на C&C-серверы вредоносного ПО Emotet, Phorpiex, SmokeLoader, Dridex или TrickBot, ей следует незамедлительно отключить эту связь, в противном случае она может стать жертвой атаки кибервымгогателей.

В более чем 2 тыс. компаний, чьи сети мониторят специалисты Lumu, каждой атаке вымогательского ПО предшествует заражение другой вредоносной программой. Вредонос-прекурсор использует боковое перемещение для продвижения дальше по сети и устройствам, открывая доступ для будущего вымогательского ПО.

Команды безопасности могут заметить некоторую активность и решить, что их межсетевой экран или EDR-решение заблокировало вредоносную программу, и теперь все в порядке, но на самом деле это может быть всего лишь вредонос-прекурсор.