Зловред PowerGhost — бесфайловый, что позволяет ему незаметно закрепляться на рабочей станции или сервере жертвы.
Проникнув в инфраструктуру компании, PowerGhost пытается авторизоваться в учетные записи пользователей сети через легитимный инструмент удаленного администрирования Windows Management Instrumentation (WMI). Необходимые для входа логины и пароли зловред добывает с помощью встроенного инструмента для извлечения данных — Mimikatz. Кроме того, майнер может распространяться через эксплойт EternalBlue для Windows, который использовали авторы WannaCry и ExPetr . Теоретически эта уязвимость уже больше года как закрыта. Но на практике почему-то продолжает работать.
Попав на устройство, зловред пытается повысить свои привилегии, воспользовавшись несколькими уязвимостями ОС. После этого майнер закрепляется в системе и начинает добывать криптовалюту для своих хозяев.
Чем опасен PowerGhost
Как и любой майнер, PowerGhost использует ресурсы вашего оборудования для генерации криптовалюты. Это, с одной стороны, снижает производительность серверов и других устройств, а с другой — значительно ускоряет их износ, что влечет за собой дополнительные расходы на замену аппаратуры.
Однако по сравнению с большинством подобных программ PowerGhost сложнее обнаружить, поскольку он не загружает на устройство вредоносные файлы. А значит, он способен дольше проработать незамеченным на вашем сервере или рабочей станции и нанести больший урон.
Кроме того, в одной из версий зловреда наши эксперты обнаружили инструмент для DDoS-атак. Использование серверов компании для бомбардировки другой жертвы может плохо сказаться на их доступности, затормозить или даже парализовать производственный процесс. Из интересного: зловред умеет проверять, запускается он в настоящей ОС или в «песочнице» — это позволяет ему обходить стандартные защитные решения.
Как избежать заражения?
Чтобы обезопасить оборудование от атаки PowerGhost и аналогичных зловредов, необходимо тщательно следить за безопасностью корпоративных сетей.
— Не пропускайте обновления программного обеспечения и операционных систем. Все уязвимости, которые использует этот майнер, уже давно закрыты производителями. Вирусописатели в принципе основывают свои разработки на эксплойтах к давно исправленным уязвимостям.
— Повышайте компетентность сотрудников. Помните, что многие киберинциденты происходят по вине человеческого фактора.
— Используйте на рабочем оборудовании надежные защитные решения, в которые входят технологии поведенческого анализа — бесфайловые угрозы иначе не поймать. Продукты «Лаборатории Касперского» для бизнеса распознают как сам PowerGhost, так и отдельные его компоненты, а также многие другие вредоносные программы, в том числе неизвестные ранее.
Источник
Batafsil | Подробно | Read more... InfoCOM
Top News
-
![]()
May oyida "Samarqand 2028" sun’iy yo‘ldoshi uchirilishi kutilmoqda."Samarqand 2028" sun’iy yo‘ldoshi Xitoyning StarVision kompaniyasi tomonidan ishlab chiqilgan..
-
![]()
"Атлетико" - "Барселона". Тахминий таркиблар билан танишингШанба оқшомида Ла Лига 30-тури доирасидаги "Атлетико" - "Барселона" учрашуви бўлиб ўтади.
-
![]()
Почему грейпфрут горчит и можно ли убрать горечь: учёные уже сделали это, но есть нюансИсследователи заблокировали активность гена, который отвечает за горький вкус грейпфрутов Грейпфрут — один из самых полезных цитрусов (хотя у...
-
![]()
Хедира "Реал" учун идеал футболчи кимлигини айтдиЎтмишда «Реал» сафида тўп сурган машҳур германиялик футболчи Сами Хедира «қироллик клуби» учун янги номзод танлади.
-
![]()
"Бунақаси ҳали бўлмаган": Гвардиола "Ливерпуль"ни мағлуб этиб, тарихий рекорд ўрнатмоқчиБугун, 4 апрель куни Англия Кубоги чорак финали доирасида «Манчестер Сити» «Ливерпуль»га қарши баҳс олиб боради.
-
![]()
“Kimning qorni og‘rib qolsa, san’atkorga osiladi” - Yulduz Usmonova soliq tizimida kutilayotgan o‘zgarish va isrofgarchilik haqida.“Qaysi tadbirda o‘tirsam, mening qo‘shig‘im qo‘yiladi. Avval mening mualliflik huquqim uchun pulimni yig‘ib bersin davlatimiz, keyin soliqdan...
