Какое ПО используют хакеры - мнения экспертов



Какое ПО используют хакеры - мнения экспертов

Почти треть кибератак проводится с использованием легальных программ, в том числе предназначенных для удаленного запуска софта, показало исследование "Лаборатории Касперского".

"В почти трети кибератак (30%), к расследованию которых привлекалась "Лаборатория Касперского" в 2019 году, были задействованы легитимные инструменты удалённого управления и администрирования. Это позволяет злоумышленникам долго скрывать следы своей деятельности. Так, в среднем атака, проводимая с целью кибершпионажа и кражи конфиденциальных данных, длилась 122 дня", — говорится в документе.

Чаще всего злоумышленники использовали программу администрирования PowerShell (применялся в каждой четвертой атаке), в 22% атак — предназначенное для удаленного запуска программ на компьютерах приложение PsExec. В тройке самых часто используемых программ оказался SoftPerfect Network Scanner, предназначенный для сканирования сетей — 14% атак.

"Чтобы как можно дольше скрывать свои действия в скомпрометированной сети, атакующие часто используют легитимное ПО, предназначенное для выполнения задач системного администрирования и диагностики. Эти инструменты применяются злоумышленниками для сбора информации о корпоративных сетях и дальнейшего перемещения по сети, внесения изменений в настройки ПО и оборудования или выполнения вредоносных действий, например шифрования данных", — прокомментировал особенности атак руководитель отдела оперативного решения компьютерных инцидентов "Лаборатории Касперского" Константин Сапронов.

Он добавил, что полностью отказаться от подобных программ невозможно, однако, если применять необходимые политики безопасности и системы мониторинга, то подозрительную активность в сети и сложные атаки можно обнаруживать на ранних стадиях.

Хакер
© fotolia.com/ aetb

Эксперты советуют организациям ограничить доступ к инструментам удаленного управления с внешних IP-адресов и убедиться в том, что доступ к интерфейсам удалённого контроля может быть осуществлен с ограниченного количества конечных устройств. Помимо этого рекомендуется ввести строгую политику паролей для всех IT-систем и мультифакторную аутентификацию, а также предоставлять учетные записи с высокими привилегиями только тем пользователям, которым они действительно нужны для выполнения рабочих задач.