До уваги страхових організацій!
Дата: 25.10.2017. Розділ: Hовини ЛСОУ, АктуальноКоманда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України повідомила про кібератаку 24 жовтня на об’єкти інфраструктури України та надала рекомендації щодо заходів з підвищення інформаційної безпеки.
«В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача», — йдеться у повідомленні Державної служби спеціального зв’язку та захисту інформації України на сайті http://cert.gov.ua
Поряд з розсилкою 24.10.2017 року шифрувальника файлів Locky, який розповсюджувався через фішингові повідомлення та використовув техніку DDE спостерігалася більш масова розсилка шифрувальника файлів Bad Rabbit через скомпрометовані веб-сайти завдяки drive-by download атаці. Дана атака дозволяла зловмисникам розповсюджувати шкідливе програмне забезпечення через веб-сайти, навіть не зламуючи їх.
Початкове зараження відбулося через скомпрометовані веб-сайти та фейкове оновлення Flash Player, яке для активації та подальшої експлуатації потребувало взаємодію з користувачем (користувач мав підтвердити згоду щодо встановлення оновлення). Розповсюдження у локальній мережі відбувалося через сканування внутрішньої мережі на відкритіcть SMB-файлів відкритого доступу, а також намаганням використати протокол HTTP WebDAV, який базується на HTTP і дозволяє використовувати Web як ресурс для читання і запису. При цьому, використовувався Mimikatz для вилучення облікових даних користувача з пам’яті інфікованого ПК та легітимне програмне забезпечення DiskCryptor для шифрування файлів.
Державна служба спеціального зв’язку та захисту інформації України наводить індикатори компрометації та скомпрометовані сайти.
CERT-UA рекомендує:
— Заблокувати доступ до зазначених посилань.
— Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826). https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826
— Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
— Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
— Не працювати під правами адміністратора.
— Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
— Звернутися до рекомендацій CERT-UA cтосовно безпеки поштових сервісів.