PowerGhost — призрачный майнер.
Недавно эксперты «Лаборатории Касперского» обнаружили майнер, нацеленный в первую очередь на корпоративные сети. Зловред PowerGhost — бесфайловый, что позволяет ему незаметно закрепляться на рабочей станции или сервере жертвы. На данный момент больше всего атак мы зафиксировали в Индии, Турции, Бразилии и Колумбии.
Проникнув в инфраструктуру компании, PowerGhost пытается авторизоваться в учетные записи пользователей сети через легитимный инструмент удаленного администрирования Windows Management Instrumentation (WMI).
Необходимые для входа логины и пароли зловред добывает с помощью встроенного инструмента для извлечения данных — Mimikatz.
Кроме того, майнер может распространяться через эксплойт EternalBlue для Windows, который использовали авторы WannaCry и ExPetr. Теоретически эта уязвимость уже больше года как закрыта. Но на практике почему-то продолжает работать.
Попав на устройство, зловред пытается повысить свои привилегии, воспользовавшись несколькими уязвимостями ОС (технические подробности можно найти в блогпосте на )). После этого майнер закрепляется в системе и начинает добывать криптовалюту для своих хозяев.
Чем опасен PowerGhost
Как и любой майнер, PowerGhost использует ресурсы вашего оборудования для генерации криптовалюты. Это, с одной стороны, снижает производительность серверов и других устройств, а с другой — значительно ускоряет их износ, что влечет за собой дополнительные расходы на замену аппаратуры.
Однако по сравнению с большинством подобных программ PowerGhost сложнее обнаружить, поскольку он не загружает на устройство вредоносные файлы. А значит, он способен дольше проработать незамеченным на вашем сервере или рабочей станции и нанести больший урон.
Кроме того, в одной из версий зловреда эксперты обнаружили инструмент для DDoS-атак. Использование серверов компании для бомбардировки другой жертвы может плохо сказаться на их доступности, затормозить или даже парализовать производственный процесс. Из интересного: зловред умеет проверять, запускается он в настоящей ОС или в «песочнице» — это позволяет ему обходить стандартные защитные решения.
Как избежать заражения?
Чтобы обезопасить оборудование от атаки PowerGhost и аналогичных зловредов, необходимо тщательно следить за безопасностью корпоративных сетей.
- Не пропускайте обновления программного обеспечения и операционных систем. Все уязвимости, которые использует этот майнер, уже давно закрыты производителями. Вирусописатели в принципе основывают свои разработки на эксплойтах к давно исправленным уязвимостям.
- Используйте надежные защитные решения, в которые входят технологии поведенческого анализа — бесфайловые угрозы иначе не поймать.
LIVE X - в этом канале собраны рассказы людей, которые пережили опыт, о котором невозможно молчать. Идите на этот маячок, тогда вы не заблудитесь в море информации.
Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в России!
Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.
Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.