Эксперт по кибербезопасности, инженер-аналитик компании «Газинформсервис» Екатерина Едемская объясняет серьёзность угрозы: «Группа хакеров EvilConWi использует поддельные, но легитимно подписанные установщики программного обеспечения ConnectWise ScreenConnect для проведения скрытых атак с удалённым доступом. Это подрывает доверие к целым экосистемам ПО, поскольку подписанный код традиционно воспринимается как безопасный. Злоумышленники эффективно внедряют вредоносные настройки в установочные файлы, не нарушая их цифровую подпись, что затрудняет обнаружение традиционными антивирусами».
По словам эксперта, такие атаки часто начинаются с фишинговых писем, заманивающих пользователей на поддельные сайты под видом легальных инструментов. Вредоносные программы работают скрытно, обходя даже системы криптографической проверки.
«Организациям следует внедрять многоуровневые средства защиты, включая системы предотвращения вторжений (IPS/IDS) и анализ целостности файлов с применением специализированных алгоритмов. Необходимо контролировать процесс установки программного обеспечения через централизованные системы управления обновлениями и обеспечивать строгую проверку и контроль цифровых подписей», — отметила Екатерина Едемская.
«Применение методов анализа поведения ПО, таких как песочницы, позволит отсеивать подозрительные или модифицированные установщики, которые могут быть использованы в подобных атаках. Проактивные меры и современные инструменты вроде Ankey SIEM NG значительно повышают защищённость инфраструктуры, позволяют централизованно отслеживать и анализировать действия в сети, значительно повышая уровень безопасности и контроля за сетевой активностью», — подчёркивает эксперт.
