Zillya! та СБУ та CERT-UA попереджають про можливі кібератаки напередодні Дня захисника України 14 жовтня
Антивірусна компанія Zillya! разом з СБУ та CERT-UA нагадує українським користувачам ПК та Інтернет про те, що напередодні Дня захисника України можливі спроби провести кібератаки на приватних користувачів та ресурси державних органів, які можуть бути здійснені за допомогою шкідливого ПЗ Petya, або схожого за способом дії шкідливого ПЗ.
Що стосується корпоративного сегмента, то це сфера відповідальності адміністраторів або служби кібербезпеки, які повинні уважно ставиться до рекомендацій компаній і лабораторій, що працюють в сфері кіберзахисту, наприклад, негайно закрити TCP-порти 1024-1035, 135, 139 і 445.
Нагадаємо що зараження WannaCry/ Petya відбувалося як через заражені оновлення програм так і через електронну пошту, завдяки відкриттю вкладеного в СПАМ-лист архіву або іншого документа. Таким чином епідемію спровокувала неуважність і ігнорування базових правил кібербезпеки.
ЯКІ ДІЇ ЗРОБИТИ ДЛЯ ЗАХИСТУ ВІД PПОДІБНОГО ШКІДЛИВОГО ПЗ
Зараження локальних мереж шкідливим ПЗ WannaCry/ Petya проводиться двома транспортними протоколами:
1. Спам розсилка по електронній пошті.
a. Користувач отримує лист з приєднаним JS файлом, архівом в якому міститься JS файл або посиланням на скомпрометований сайт. Після активації скрипт завантажує виконуваний файл і інфікує систему.
b. Користувач отримує лист з документом MS Office, що містить макрос. Макрос після запуску користувачем завантажує з мережі виконуваний файл і активує його.
2. Заражений ПК в мережі сканує мережеве оточення і, використовуючи вразливість EternalBlue заражає інші ПК в мережі.
При відсутності прав адміністратора троянська програма шифрує файли на дисках комп'ютера, до яких може отримати доступ. При наявності прав адміністратора троянська програма заражає MBR завантажувального жорсткого диска і після перезавантаження комп'ютера (виконуваної примусово) шифрує вміст жорсткого диска.
МЕТОДИ ПРОТИДІЇ ЗАРАЖЕННЮ WANNACRY/ PETYA:
Відключення застарілого протоколу SMB1. Інструкція по відключенню SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
Встановлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовуються для організації роботи мережеві папки і мережеві диски), в брандмауер локальних ПК і мережевого устаткування заблокувати TCP / IP порти 135, 139 і 445
Блокування можливості відкриття JS файлів, отриманих по електронній пошті
Блокування відкриття файлів, приєднаних до листів електронної пошти в ZIP архівах
Ідентифікатори компрометації:
1. Звернення заражених систем на WEB-ресурси
a. coffeinoffice.xyz
b. french-cooking.com
2. Створення в системі файлу C: \ WINDOWS \ perfc.dat
ПОРАДИ ВІД СБУ
Фахівці СБ України отримали дані, що атака може бути здійснена з використанням оновлень, у тому числі загальнодоступного прикладного програмного забезпечення. Механізм її реалізації буде подібним до кібератаки, проведеної в червні 2017 року.
Для попередження несанкціонованого блокування інформаційних систем необхідно дотримуватись таких рекомендацій:
- оновити сигнатури антивірусного ПЗ на серверах і робочих станціях
- здійснити резервування інформації, що оброблюється на комп’ютерному обладнанні
- забезпечити щоденне оновлення системного програмного забезпечення, у т.ч. OS Windows усіх без винятку версій.
