​​Буткиты угрожают госучреждениям и промышленным предприятиям в России Эксперты Positive Technologies проанализировали 39 семейств буткитов, использующихся в реальных атаках злоумышленников с 2005 по 2021 год. Исследование показало, что каждый второй буткит применяется в целевых атаках, при этом, несмотря на высокую стоимость их разработки, злоумышленники активно используют это средство в массовых атаках. Буткит — это вредоносная программа, предназначенная для срабатывания в начале загрузки компьютера с целью управления всеми этапами запуска операционной системы, изменения системного кода и драйверов до загрузки антивирусных программ и других компонентов безопасности. Ещё недавно была распространена точка зрения, что буткиты, внедряемые на стадии запуска низкоуровневого ПО BIOS или UEFI, практически не встречаются в реальных атаках, однако в последние годы этот миф развенчивают. Так, из 39 проанализированных Positive Technologies семейств буткитов как минимум 27 семейств использовались в кибератаках, причём половина из них, — APT-группировками, например Careto, Winnti (APT41), FIN1 и APT28. По данным исследователей, росту популярности буткитов среди злоумышленников способствует регулярное обнаружение уязвимостей в прошивках. Помимо того функции буткитов нередко добавляются к другим вредоносным программам: так поступают разработчики шифровальщиков, например Satana и Petya, и ботнетов. Эксперты отмечают сложность разработки буткитов, что отражается на их стоимости на теневом рынке. Средняя стоимость аренды буткита составляет 4900 долларов. Исследователи проанализировали 58 каналов в Telegram и десять наиболее популярных русскоязычных и англоязычных форумов в даркнете, где представлены предложения о продаже и запросы о покупке буткитов, а также объявления о поиске разработчиков вредоносов. За 10 000 долларов преступник может приобрести исходный код для буткита, а за 2000 — получить образ для запуска. За разработку буткита злоумышленники готовы платить до 5 000 долларов. Максимальная цена, которую готовы заплатить за буткит для прошивки UEFI, составляет 2 миллиона долларов. Несмотря на высокую стоимость, хакеры используют буткиты не только в целевых, но и в массовых атаках. Так, буткит Rovnix распространяли в рамках фишинговой кампании, использующей в качестве повестки информацию о новой инициативе Всемирного банка в связи с эпидемией коронавируса. Буткит Adushka был нацелен на обычных пользователей и применялся в том числе для кражи данных из личных аккаунтов в онлайн-играх. Ещё один буткит, который был использован в массовых атаках, — Oldboot. Он был ориентирован на устройства на платформе Android и успел заразить более 350 000 мобильных устройств. Исследователи отмечают, что для доставки буткитов в инфраструктуру организаций злоумышленники используют в основном направленный фишинг через электронную почту. Так, например, распространяются буткиты Mebromi и Mosaic Regressor. Ещё одним вектором становятся сайты и техника Drive-by Compromise, с помощью которой происходило заражение вредоносами Pitou и Mebroot. Причём киберпреступники, распространявшие Mebroot, взломали более 1500 ресурсов для размещения своего вредоносного кода. Буткит FispBoot и вовсе попадал на устройство после заражения трояном Trojan-Downloader.NSIS.Agent.jd, который жертва загружала под видом видеоролика. «Некоторым организациям сложно обновить ИТ-инфраструктуру. По нашей оценке, в России с такой проблемой чаще сталкиваются госучреждения и промышленные предприятия. Не менее актуальна эта проблема и в случае с виртуальной инфраструктурой, так как даже производители гипервизоров в качестве прошивки по умолчанию рекомендуют использовать BIOS. На наш взгляд, это обусловлено тем, что виртуальные машины на базе BIOS легче обслуживать и поддерживать», — комментируют сложившуюся ситуацию аналитики. #RuTORхакинг РУЛЕТКА | Конкурсы и выплаты | RuTOR MEDIA | Чат | Чат Резерв | Форум | Twitter | RuTOR Science | Гарант RuTOR