MaxPatrol SIEM против шифровальщиков: добавлено 62 новых правила для обнаружения угроз

MaxPatrol SIEM расширил свои возможности по обнаружению угроз - в продукт добавлены 62 новых правила. С их помощью система мониторинга событий ИБ способна выявлять среди прочего активность шифровальщиков и еще больше признаков работы хакерских инструментов.

Обновления коснулись следующих пакетов экспертизы:

• «Атаки с помощью специализированного ПО»,
• «Атаки методом перебора»,
• «Расследование запуска процессов в Windows»,
• «Сетевые устройства. Индикаторы компрометации»,
• тактики «Получение учетных данных», «Выполнение», «Предотвращение обнаружения», «Сбор данных», «Деструктивное воздействие», «Перемещение внутри периметра», «Закрепление», «Повышение привилегий», «Организация управления», «Изучение».

Киберпреступники постоянно улучшают методы атак, создают новые инструменты, чтобы оставаться невидимыми для средств защиты. Эксперты Positive Technologies не прекращают отслеживать тренды кибератак, изучают специализированные форумы по разработке и продаже вредоносного ПО и инструментария, а также анализируют публичные отчеты по расследованию инцидентов (в том числе выпускаемые собственным экспертным центром безопасности). На основе актуальных данных о том, как атакуют злоумышленники, Positive Technologies регулярно обновляет экспертизу в MaxPatrol SIEM.

Среди наиболее важных правил в опубликованных обновлениях пользователи MaxPatrol SIEM могут обнаруживать:

• типичные действия шифровальщиков, например массовое создание файлов или их изменение одним и тем же процессом;
• дополнительные признаки активности хакерских инструментов, ранее уже покрытых детектами; среди них, например, PPLBlade, Powermad, NimExec и SharpHound, который по-прежнему активно используется в атаках;
• популярные техники «Загрузка сторонних DLL-библиотек» (вредоносное ПО и APT-группировки применяют ее для проникновения в сеть и повышения привилегий) и «Подмена родительского PID» (используется атакующими для сокрытия вредоносных действий путем изменения родителя процесса) тактики «Предотвращение обнаружения» по матрице MITRE ATT&CK.

По данным PT Expert Security Center, в 2021–2023 годах 21% случаев инцидентов были связаны с шифрованием или затиранием данных на узлах корпоративной инфраструктуры. Самыми распространенными шифровальщиками были Black Basta, Rhysida и LockBit, а операторы вымогателей продолжают расширять арсенал. В Positive Technologies отмечают, что шифровальщики быстро распространяются с одного узла на другие. «С обновленным пакетом экспертизы пользователи MaxPatrol SIEM получат сигнал уже о первом атакованном шифровальщиком компьютере. Своевременно удалив вирус, они смогут остановить атаку на ранней стадии и оперативно расследовать инцидент», - добавили в компании.

Для того, чтобы начать использовать новые правила и механизмы обогащения событий, необходимо обновить MaxPatrol SIEM до версии 7.0 или выше и установить обновления пакетов экспертизы.