Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

MaxPatrol SIEM обнаруживает атаки шифровальщиков

11/01/24

PT-Jan-11-2024-01-33-05-0165-PM

В MaxPatrol SIEM добавлены 62 новых правила обнаружения угроз. С их помощью система мониторинга событий ИБ выявляет среди прочего активность шифровальщиков и еще больше признаков работы хакерских инструментов. Всего получили обновления следующие пакеты экспертизы: «Атаки с помощью специализированного ПО», «Атаки методом перебора», «Расследование запуска процессов в Windows», «Сетевые устройства. Индикаторы компрометации», тактики «Получение учетных данных», «Выполнение», «Предотвращение обнаружения», «Сбор данных», «Деструктивное воздействие», «Перемещение внутри периметра», «Закрепление», «Повышение привилегий», «Организация управления», «Изучение».

Киберпреступники не стоят на месте: каждый день они совершенствуют методы атак, разрабатывают новые инструменты, чтобы их действия оставались незамеченными для средств защиты. Эксперты Positive Technologies непрерывно следят за трендами кибератак, изучают специализированные форумы по разработке и продаже вредоносного ПО и инструментария, а также анализируют публичные отчеты по расследованию инцидентов (в том числе выпускаемые собственным экспертным центром безопасности). На основе актуальных данных о том, как атакуют злоумышленники, Positive Technologies регулярно обновляет экспертизу в MaxPatrol SIEM.

Наиболее важные правила в опубликованных обновлениях позволяют пользователям MaxPatrol SIEM обнаруживать:

  • типичные действия шифровальщиков, например массовую генерацию файлов или их изменение одним и тем же процессом;
  • дополнительные признаки активности хакерских инструментов, ранее уже покрытых детектами; среди них, например, PPLBlade, Powermad, NimExec и SharpHound, который по-прежнему активно используется в атаках;
  • популярные техники «Загрузка сторонних DLL-библиотек» (вредоносное ПО и APT-группировки применяют ее для проникновения в сеть и повышения привилегий) и «Подмена родительского PID» (используется атакующими для сокрытия вредоносных действий путем изменения родителя процесса) тактики «Предотвращение обнаружения» по матрице MITRE ATT&CK.

«Опыт расследований PT Expert Security Center показывает: инциденты, связанные с шифрованием или затиранием данных на узлах корпоративной инфраструктуры, были одними из наиболее часто встречающихся в 2021–2023 годах (21% случаев). В тройке самых популярных — Black Basta, Rhysida и LockBit, причем операторы вымогателей продолжают расширять арсенал, — комментирует Никита Баженов, младший специалист базы знаний и экспертизы информационной безопасности Positive Technologies. — Шифровальщики отличаются тем, что быстро распространяются с одного узла на другие. С обновленным пакетом экспертизы пользователи MaxPatrol SIEM получат сигнал уже о первом атакованном шифровальщиком компьютере. Своевременно удалив вирус, они смогут остановить атаку на ранней стадии и оперативно расследовать инцидент».

 

Чтобы начать использовать новые правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить обновления пакетов экспертизы.

Темы:КибербезопасностьPositive_TechnologiesОтрасльMaxPatrol SIEM
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...