«Солар»: слабые пароли и их повторное использование — «слабое звено» в ИТ-системах российских компаний
Узнать больше
С помощью центра раннего выявления киберугроз Solar JSOC CERT специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-Солар» выявили и предотвратили попытку хакеров вовлечь в ботнет Meris более 45 000 новых устройств. По мнению экспертов, именно этот ботнет использовался при недавней DDoS-атаке на Яндекс, которую называют крупнейшей за всю историю Рунета. Предположительный масштаб Meris – 200 000 устройств, таким образом, за счет новой атаки он мог увеличить мощности на 20%.
Благодаря сети ханипотов Solar JSOC CERT специалисты «Ростелеком-Солар» смогли получить и проанализировать команды, которые используются для управления зараженными устройствами. Выявленные в них ошибки позволили экспертам Solar JSOC CERT обнаружить 45 000 сетевых устройств, идентифицировать их географическое местоположение и изолировать от ботнета.
Ботнет Meris предположительно состоит преимущественно из оборудования MikroTik, которое широко применяется домашними пользователями для подключения к интернету. Некоторые версии прошивок MikroTik содержат критические уязвимости, эксплуатация которых позволяет хакерам захватывать контроль над устройствами и объединять их в сеть под управлением единого центра или нескольких центров. Такие ботнеты используются для проведения масштабных фишинговых, DDoS- и других кибератак. По данным, полученным «Ростелеком-Солар», при атаке на устройства MikroTik злоумышленники пытаются эксплуатировать известные уязвимости, а также подбирать пароли доступа к роутерам.
Более 20% атакованных устройств находятся в Бразилии. В топ-5 географии присутствия данного сегмента Meris – Украина, Индонезия, Польша и Индия. Зараженные устройства из России составили менее 4% ботнета.
Эксперты Solar JSOC CERT компании «Ростелеком-Солар» передали список зараженных устройств в НКЦКИ, который оперативно проинформировал зарубежные государственные центры реагирования на кибератаки о наличии в их странах сегментов ботнета. Российские операторы связи, в инфраструктуре которых были выявлены зараженные узлы, также были оповещены об инциденте.
Технические подробности по результатам исследования будут представлены в готовящемся отчете, который будет опубликован на информационных ресурсах Solar JSOC CERT компании «Ростелеком-Солар» и НКЦКИ, а также доведен НКЦКИ установленным порядком до субъектов ГосСОПКА.
Принятые меры противодействия
Благодаря сети ханипотов Solar JSOC CERT специалисты «Ростелеком-Солар» смогли получить и проанализировать команды, которые используются для управления зараженными устройствами. Выявленные в них ошибки позволили экспертам Solar JSOC CERT обнаружить 45 000 сетевых устройств, идентифицировать их географическое местоположение и изолировать от ботнета.
Ботнет Meris предположительно состоит преимущественно из оборудования MikroTik, которое широко применяется домашними пользователями для подключения к интернету. Некоторые версии прошивок MikroTik содержат критические уязвимости, эксплуатация которых позволяет хакерам захватывать контроль над устройствами и объединять их в сеть под управлением единого центра или нескольких центров. Такие ботнеты используются для проведения масштабных фишинговых, DDoS- и других кибератак. По данным, полученным «Ростелеком-Солар», при атаке на устройства MikroTik злоумышленники пытаются эксплуатировать известные уязвимости, а также подбирать пароли доступа к роутерам.
Более 20% атакованных устройств находятся в Бразилии. В топ-5 географии присутствия данного сегмента Meris – Украина, Индонезия, Польша и Индия. Зараженные устройства из России составили менее 4% ботнета.
Эксперты Solar JSOC CERT компании «Ростелеком-Солар» передали список зараженных устройств в НКЦКИ, который оперативно проинформировал зарубежные государственные центры реагирования на кибератаки о наличии в их странах сегментов ботнета. Российские операторы связи, в инфраструктуре которых были выявлены зараженные узлы, также были оповещены об инциденте.
Технические подробности по результатам исследования будут представлены в готовящемся отчете, который будет опубликован на информационных ресурсах Solar JSOC CERT компании «Ростелеком-Солар» и НКЦКИ, а также доведен НКЦКИ установленным порядком до субъектов ГосСОПКА.
Принятые меры противодействия
«Оперативное взаимодействие с одним из ключевых центров ГосСОПКА позволило нам существенно снизить атакующий потенциал крупного ботнета, который мог использоваться для атак на объекты критической информационной инфраструктуры России или информационные ресурсы, освещающие важные общественно-политические мероприятия в стране», – отметили в НКЦКИ.
ДРУГИЕ СТАТЬИ ПРОДУКТА
Еще больше о наших возможностях
Solar webProxy получил «прописку» в Беларуси — локальный бизнес получает ту же защиту трафика, что и российские компании
Узнать больше
Уязвимости в тени: ChatGPT и DeepSeek пропускают от 40 до 50% уязвимостей в приложениях на Java и Python
Узнать больше
«Солар»: каждая пятая атака APT-группировок на российскую компанию длится не менее полугода
Узнать больше
Solar appScreener вошел в шорт‑лист номинации «Продукт года» премии Tproger Awards
Узнать больше
Как госсектору и КИИ сэкономить 15% на сетевой безопасности: «Солар» представил сертифицированную ФСБ «ЗАСТАВУ» версии 8 с централизованным управлением на веб-технологии
Узнать больше
«Солар»: порядка 30% заявлений об утечках из российских госорганов в 2025 году оказались фейковыми
Узнать больше
ГК «Солар»: промышленность и региональная власть стали самыми атакуемыми сегментами в 2025 году
Узнать больше
Антидот от ботов: «Солар» запускает Antibot — сервис для защиты онлайн-ресурсов от ботов и накруток
Узнать больше
Новые требования ФСТЭК к удаленному доступу: как ГИС и банкам легализовать привилегированных пользователей
Узнать большеСамые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Запросить консультацию
Для просмотра контента вам нужно авторизоваться на сайте. Для этого заполните свой мейл