Остерегайтесь LoJax: обнаружен первый руткит UEFI
LoJax является частью вредоносной программы, которая способна запускать удаленный вредоносный код на компьютерах и неисправных устройствах.
Прошло уже более восьми месяцев после того, как исследователи обнаружили программу, но LoJax все еще продолжает заражать компьютеры.
Fancy Bear (также известный как Sednit) – российская группа кибершпионажа, специализирующаяся на кибератаках, которые классифицируются как Advanced Persistent Threats (APT), разработала вредоносное ПО Lojax, которое может выжить после переустановки операционной системы, а также имеет уникальное происхождение, которое делает его невероятно трудным для борьбы.
Особенно он является опасным для организаций и институтов, у которых отсутствует защита против подобных атак.
По мнению экспертов по кибербезопасности, операторы Fancy Bear использовали разные компоненты вредоносной программы LoJax для заражения нескольких государственных учреждений в Балканах, а также в Центральной и Восточной Европе.
Группа кибермошенников также стоят за взломом глобальной телевизионной сети TV5Monde, сливом электронных сообщений World Anti-Doping Agency (WADA) и многого другого.
Как работает вредоносная программа Lojax?
Lojax действует как руткит, который дает кибермошенникам доступ к зараженному компьютеру или сетевым административным уровням, и является способным изменять определенные файлы реестра Windows, чтобы оставаться скрытым от обычного антивирусного программного обеспечения и пользователя.
Lojax разработан, чтобы внедрять вредоносные программы в компьютер и удостовериться, что они работают, когда система запускается, но что делает Lojax особенным, так это то, что это первый из всех руткит, который напрямую атакует Унифицированный интерфейс расширяемой прошивки (Unified Extensible Firmware Interface-UEFI), который обеспечивает интерфейс для операционной системы компьютера (ОС) для подключения к микропрограммному обеспечению.
Lojax получает доступ к UEFI, используя двоичные файлы из операционной системы, собранную информацию о ее жестком диске. Здесь они обновляют UEFI, прячут вредоносный код , затем пишут его снова по всему Windows. Таким образом кибермошенники могут взять полный контроль над UEFI.
Руткиты UEFI широко рассматриваются в качестве исключительно опасных инструментов для реализации кибер-атак, так как их трудно обнаружить и они способны выдержать меры безопасности, такие как переустановка операционной системы и даже замена жесткого диска.
Он обнаруживает уязвимости вашей системы, пользуется этим и вводит себя в компьютеры с серверов контроля и управления. Скрытный и изменчивый характер вредоносной программы замедляет скорость системы, следит за просмотренными данными и крадет информацию.
Если заражение прошло успешно, кибермошенники могут использовать Lojax для постоянного удаленного доступа к системе, а также установке и запуску на нее дополнительных вредоносных программ без разрешения пользователя.
Кроме того, кибермошенники и разработчики подобных вредоносных программ продолжают следить за вашей активностью в Интернете, чтобы красть вашу информацию, такие как банковские данные, электронные письма, учетные данные, пароли, геолокацию, аккаунты социальных медиа и IP адреса.
Эта личная информация позднее может быть продана сторонним сайтам, что может привести вашу конфиденциальность под серьезный риск, финансовой потере или даже краже.
Таким образом, важно пользоваться надежной программой против вредоносных программ, например, программой для удаления вирусов и предотвращения заражения ими Malware Crusher, чтобы защитить ваш ПК от Lojax и других кибер-угроз.
Делая выводы
Пользователи могут охранять свой компьютер против Lojax, включив Безопасную загрузку; средство безопасности обеспечивает загрузку системы с использованием программного обеспечения, которое подлинно подписано производителями оригинального оборудования. Безопасная загрузка обнаруживает, блокирует зараженные полезные загрузки, файлы операционной системы и другие вредоносные программы.
Мы рекомендуем вам регулярно обновлять прошивку UEFI и следовать указаниям Microsoft по настройке безопасной загрузки, если у вас нет технических знаний.
Организации также должны следовать рекомендациям по обеспечению безопасности и обеспечивать более глубокую защиту с помощью механизмов безопасности, которые могут предотвращать угрозы со стороны эндпоинт, сетей, серверов и брандмауэров.
Нам также необходимо всесторонне модернизировать наши системы и процессы киберзащиты для более эффективной защиты от рисков кибербезопасности, а также для своевременного и надежного реагирования, чтобы предотвратить любое заражение в будущем.
Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами:
- Включите блокировщик всплывающих окон: Всплывающие окна и реклама являются наиболее часто используемой тактикой киберпреступников и разработчиков с намерением распространить вредоносные программы. Поэтому избегайте сомнительных сайтов, программных обеспечений, всплывающих окон и т.д. Установите мощный блокировщик рекламы для Chrome, Mozilla, и Internet Explorer.
- Не забывайте обновлять ваш Windows: чтобы избегать таких заражений, мы рекомендуем обновлять систему через автоматическое обновление Windows. Так ваша система может избегать заражений вирусами. Согласно опросу, устаревшие/ старые версии операционной системы Windows легче подвержены заражениям вирусами.
- Сторонняя установка: старайтесь избегать сайтов для скачивания бесплатных программных обеспечений, так как они обычно в комплекте устанавливают программное обеспечение с другими установками и файлами заглушки.
- Регулярное резервное копирование: регулярное и периодическое резервное копирование помогает вам держать ваши данные в безопасности в случае заражения вирусом или любым другим заражением. Таким образом, регулярно сохраняйте важные файлы на облачном диске или внешнем жестком диске.
- Всегда пользуйтесь антивирусом: Меры предосторожности всегда лучше, чем лечение последствий. Рекомендуем установить антивирус ITL Total Security или Malware Removal Tool например Download Virus RemovalTool
