Злоумышленники все чаще атакуют Windows, используя уязвимые драйверы, утверждают эксперты «Лаборатории Касперского». Во втором квартале 2024 г. количество систем, атакованных таким образом, увеличилось почти на 23% по сравнению с первым кварталом. Об этом CNews сообщили представители «Лаборатории Касперского».
Кибератаки с применением уязвимых драйверов позволяют злоумышленникам совершать попытки отключить защитные решения в системе и повышать привилегии. Это дает им возможность осуществлять различные вредоносные действия, например внедрять программы-вымогатели или закрепляться в системе для шпионажа или саботажа, проводить сложные целевые атаки.
Увеличивается и количество инструментов, позволяющих использовать уязвимые драйверы. С 2021 г. в сети были опубликованы 24 проекта, которые затрагивали уязвимые драйверы в контексте повышения привилегий и атак на встроенные и сторонние защитные решения, из них 16 — в 2023 г. Такие общедоступные инструменты избавляют злоумышленников от необходимости обладать специальными навыками, необходимыми для поиска и эксплуатации уязвимых драйверов.
«Качество и количество уязвимостей и работающих эксплойтов к ним растет с каждым кварталом, причем злоумышленники находят способы для возвращения в строй уязвимостей, которые уже были пропатчены. Одно из основных ухищрений, позволяющих эксплуатировать закрытые уязвимости, — техника BYOVD, когда атакующие сами загружают в систему уязвимый драйвер. Чтобы оставаться в безопасности, нужно выстраивать грамотный патч-менеджмент, позволяющий своевременно обнаруживать и устранять уязвимости в корпоративной инфраструктуре, и использовать защитное решение, способное противостоять эксплуатации уязвимых драйверов», — сказал Владимир Кусков, руководитель лаборатории антивирусных исследований «Лаборатории Касперского».
Для защиты от киберугроз эксперты рекомендуют компаниям: тщательно изучить инфраструктуру и внимательно следить за её активами, уделяя особое внимание периметру; использовать комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности. В контексте атак на Windows решение обладает преимуществом — оно способно противостоять эксплуатации уязвимых драйверов; предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence; регулярно проводить аудит безопасности, чтобы выявить и устранить уязвимости до того, как они станут точкой входа для злоумышленников; применять защитные технологии, которые регулярно получают награды от независимых зарубежных тестовых лабораторий.