В числе мишеней были предприятия по всему миру
В
феврале 2023 года эксперты «Лаборатории Касперского» обнаружили атаку
с использованием ранее неизвестной уязвимости в файловой системе
Microsoft Common Log File
System (CLFS). Злоумышленники использовали эксплойт, разработанный для
различных версий и сборок ОС Windows, включая Windows 11, для попыток развернуть программу-вымогатель Nokoyawa.
Microsoft присвоила этой уязвимости номер CVE-2023-28252, она уже исправлена.
Среди целей были предприятия малого и среднего бизнеса на Ближнем Востоке,
в Северной Америке и странах Азии.
Чаще
всего уязвимости нулевого дня используются для проведения целевых атак, но эта
применялась продвинутой кибергруппой с целью извлечения финансовой выгоды
посредством использования программ-вымогателей.
Эта
группа уже давно использует похожие, но уникальные эксплойты Common Log File
System (CLFS). Эксперты компании видели как минимум пять различных эксплойтов
такого рода. Они использовались в атаках на розничную и оптовую торговлю,
энергетику, производство, здравоохранение, разработку программного обеспечения.
«Если
раньше эксплойты нулевого дня в основном использовались для проведения сложных
целевых атак, то теперь у злоумышленников есть ресурсы для их приобретения
и частого применения. Есть также разработчики, готовые помочь им
и разрабатывающие эксплойт за эксплойтом. Мы рекомендуем компаниям
как можно скорее загрузить последние исправления от Microsoft и
укрепить защиту, в частности с помощью EDR-решений», ― комментирует
Борис Ларин, эксперт по кибербезопасности
«Лаборатории Касперского».
Продукты
«Лаборатории Касперского» обнаруживают и защищают от эксплуатации указанной
уязвимости и связанных с ней вредоносных программ.
Для
защиты бизнеса от атак с использованием данной уязвимости эксперты
«Лаборатории Касперского» рекомендуют:
- регулярно обновлять Microsoft Windows;
- использовать надёжное решение для защиты рабочих
мест, например Kaspersky Security
для бизнеса,
обладающее функциями защиты от эксплойтов, выявления подозрительного
поведения и отката вредоносных действий;
- применять комплексные защитные решения, которые
позволят выстроить гибкую и эффективную систему безопасности, включающую в себя
обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой
сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире.
Комбинации таких решений под потребности компании любого масштаба
содержатся в уровнях новой линейки продуктов для защиты бизнеса Kaspersky Symphony;
- внедрить EDR-решение и сервис, который умеет распознавать и
останавливать атаки на ранней стадии, до того как злоумышленники нанесут
существенный урон, такой как Kaspersky Managed Detection and Response.
