2022/07/27 17:41:25

Буткит (Bootkit)


2022: Распространение в России

27 июля 2022 года специалисты компании Positive Technologies предупредили о появлении в России особого вида вредоносного ПО, которое угрожает госучреждениям и промышленности. Речь идет о так называемых буткитах, которые запускаются до загрузки операционной системы.

Из 39 проанализированных ИБ-экспертами семейств буткитов как минимум 70%, 27 семейств, использовались в кибератаках, причем половина из них, 14, — APT-группировками, например Careto, Winnti (APT41), FIN1 и APT28. 76% изученных вирусов были разработаны под устаревший и небезопасный BIOS.

Positive Technologies: заражение особым видом вредоносного ПО угрожает госучреждениям и промышленности России

По данным Positive Technologies, росту популярности буткитов среди злоумышленников способствует регулярное обнаружение уязвимостей в прошивках.

«
Intel еще в 2020 году остановила поддержку BIOS, но некоторые компании не могут быстро обновить ИТ-инфраструктуру либо используют гипервизоры, в которых по умолчанию рекомендовано использовать BIOS. Из-за этого буткиты для заражения BIOS до сих пор не теряют своей актуальности. По нашей оценке, в России с такой проблемой чаще сталкиваются госучреждения и промышленность, - отметила аналитик исследовательской группы Positive Technologies Яна Юракова.
»

Эксперты обращают внимание на сложность разработки буткитов, что отражается на их стоимости на теневом рынке. Средняя стоимость аренды буткита составляет $4900. Согласно исследованию, за $10 тыс. киберпреступник может приобрести исходный код для буткита, а за $2000 — получить образ для запуска. За разработку буткита злоумышленники готовы платить до $5000.TAdviser выпустил Гид по российским операционным системам 10.3 т

Для доставки буткитов в инфраструктуру организаций злоумышленники используют в основном целенаправленный фишинг через электронную почту. Так, например, распространяются буткиты Mebromi и Mosaic Regressor. Еще одним вектором доставки становятся сайты, в том числе техника Drive-by Compromise — с помощью этой техники происходило заражение вредоносами Pitou и Mebroot, причем киберпреступники, распространяющие Mebroot, взломали более 1500 веб-ресурсов для размещения вредоносного кода. Буткит FispBoot попадал на устройство после заражения трояном Trojan-Downloader.NSIS.Agent.jd, который жертва загружала под видом видеоролика.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT