Lizard Soft решительно осуждает войну, развязанную россией против нашей страны.

Мы не сотрудничаем с физическими лицами и бизнесом, которые:

Да, такова наша корпоративная политика.

Слава Україні! Слава ЗСУ! Перемога близько!

Новости

Волна кибератак на украинские системы продолжается: кто и как это делает и чем защититься

Василий Григорьев, генеральный директор Lizard Soft
Денис Розумейко, Microsoft 365 Engineer Lizard Soft

В связи с длительной российской агрессией против Украины и сотрудничеством Microsoft с глобальными партнерами мир столкнулся с ростом эпизодов кибератак со стороны российских государственных акторов. Они используют различные подходы и средства, убеждающие в стремительном развитии киберпреступности в условиях гибридной войны. В этом блоге мы рассматриваем действия угрозы, известной как Cadet Blizzard, направленные на осуществление деструктивных атак, шпионажа и информационных операций.


Кто такие Cadet Blizzard

Cadet Blizzard – это кибергруппировка, спонсируемая российским государством и имеющая отношение к Главному управлению генерального штаба ВС РФ (ГРУ). По данным Microsoft, Cadet Blizzard отделена от других известных групп, таких как Forest Blizzard (STRONTIUM) и Seashell Blizzard (IRIDIUM), также связанных с ГРУ.

Microsoft отслеживает деятельность Cadet Blizzard с января 2022, но считает, что они функционируют с 2020 года. Их операции включают разрушительные атаки, шпионаж и информационные операции на системы Украины и других государств.

Lizard Soft, как сертифицированный партнер Microsoft, активно работает над вопросами кибербезопасности и помогает защититься от уязвимостей, таких как те, что используются Cadet Blizzard.


Кто является мишенями Cadet Blizzard

Операции Cadet Blizzard носят глобальный характер, но больше всего касаются Украины, Европы, Центральной Азии и периодически Латинской Америки. Основные целевые секторы кибератак – онлайн-ресурсы правительственных организаций и поставщиков информационных технологий в Украине. В то же время мишенями стали и организации в Европе и Латинской Америке.


Как происходит проникновение

Cadet Blizzard достигает исходного доступа, используя уязвимости веб-серверов, обычно расположенных на сетевых периметрах и DMZ.

Известно также и об атаках на серверы Confluence из-за уязвимости CVE-2021-26084, серверов Exchange из-за ряда уязвимостей, включая CVE-2022-41040 и ProxyShell.

Для обеспечения постоянного доступа к сети жертвы Cadet Blizzard использует веб-шеллы (например P0wnyshell, reGeorg, PAS), а также собственные варианты, входящие в публично доступные комплекты эксплойтов.

Кроме того, преступники из Cadet Blizzard осуществляют эскалацию привилегий и сбор учетных данных, используя различные техники: например, хранение LSASS, хранение регистрационных файлов и т.д.


Какие уязвимости эксплуатируются
  • Уязвимость серверов Confluence CVE-2021-26084.
  • Уязвимости серверов Exchange, включая CVE-2022-41040 и ProxyShell.

Рекомендации по защите от атак
  • Устанавливайте последние обновления и патчи безопасности на операционную систему. Следите за последней версией антивирусного ПО с последними обновлениями вирусных баз. Используйте лицензионное ПО.
  • Используйте централизованные средства защиты и мониторинга, такие как Microsoft Defender for Endpoint.
  • Просмотрите всю деятельность аутентификации для инфраструктуры дистанционного доступа, в частности для учетных записей, настроенных на однофакторную аутентификацию.
  • Включите многофакторную аутентификацию (MFA) для всех пользователей. Напомним, что базовый MFA есть во многих планах Microsoft 365. Расширенные возможности можно получить, приобретя Azure Active Directory Premium Plan 1 или выше.
  • Включите контролируемый доступ к папкам (CFA) для предотвращения модификации MBR/VBR.
  • Блокируйте создание процессов, возникающих от команд PSExec и WMI, для остановки бокового движения.
  • Включите защиту, предоставляемую Microsoft Defender Antivirus или эквивалентный продукт для борьбы с быстро меняющимися инструментами и методами злоумышленников.

Первые шаги в случае подозрения о взломе системы
  • Немедленно проинформировать свой ИТ-отдел и вашего доверенного партнера – компанию Lizard Soft. Напомним: в рамках нашего Premier Support-контракта с Microsoft мы можем способствовать скорейшему подключению необходимых для реакции на инцидент ресурсов с самым высоким приоритетом.
  • Принять меры по изоляции скомпрометированных систем и сети.
  • Изменить пароли и включить многофакторную аутентификацию.
  • Запустить антивирусное сканирование на всех системах.
  • Сотрудничать с органами расследования и специалистами по кибербезопасности для анализа и ремедиации инцидента.

Lizard Soft внимательно отслеживает известные случаи кибератак и анализирует известные кейсы проникновения в IT-системы.

Мы все понимаем, что подобные атаки не прекратятся. Следовательно наша задача – быть готовыми заранее: проанализировать инфраструктуру, определить уязвимости, принять меры по снижению рисков и всегда быть на расстоянии одного клика от специалистов по кибербезопасности.

Не ждите взлома ваших данных – исключите его: в вашем распоряжении – опыт и знания лучших специалистов по кибербезопасности в мире, специалистов Microsoft; и самые совершенные системы киберзащиты, которые Lizard Soft активирует в рамках Premier Support-контракта с Microsoft.

Свяжитесь с нами для анализа и определения дальнейших шагов по максимальному повышению уровня безопасности ваших IT-систем.

По материалам Microsoft.com

 

Есть вопросы? Напишите!