НОВОСТИ

ISSP: Кибератаки Locky1024 и BadRabbit – новые векторы атак или отвлечение внимания от продолжающейся «основной» кибератаки

Дата публикации: 25.10.2017 16:56 | Категория: | Источник: http://issp.ua

24 октября в Украине были зафиксированы новые кибератаки, которые поразили целый ряд инфраструктурных объектов, в том числе Одесский аэропорт, банковские сервисы Киевского метро и другие.  

В данный момент пока нельзя однозначно утверждать, являются ли наблюдаемые векторы атак, один из которых получил предварительное название «Bad Rabbit», а второй эксперты ISSP Labs назвали Locky1024, самостоятельными новыми векторами, или же отвлечением внимания от продолжающейся «основной атаки», этап кульминации и зачистки по которой, получивший название Petya/NotPetya, наблюдался 27 июля 2017 года, и от которого пострадало большое количество компаний и государственных органов.

 

Эксперты ISSP Labs работают над анализом поступивших в лабораторию образцов Locky1024 и BadRabbit. В данный момент можно с уверенностью сказать, что образец Locky1024 не содержит функционала перезаписи MBR и не использует Mimikatz для получения паролей и не распространяется дальше по локальной сети, что означает, что этот вектор не аналогичен Petya/NotPetya как поспешно сообщали некоторые эксперты и компании по кибербезопасности.   

Данный вектор атаки может выступать прикрытием для другой, скрытой атаки, которая осталась незамеченной за всеобщим вниманием к шифровальщикам (такая же вероятность существует и по вектору BadRabbit).

Также еще раз обращаем внимание специалистов по кибербезопасности, что после Petya/NotPetya во многих организациях остались так называемые спящие агенты (Sleeper Agents), поэтому с высокой долей вероятности злоумышленники продолжают находиться и иметь доступ к инфраструктурам организаций, как пострадавших, так и формально не пострадавших от NotPetya. Ответить положительно или отрицательно на вопрос о фактическом присутствии злоумышленников внутри инфраструктуры возможно только в процессе проведения соответствующей професииональной экспертизы.

 

Рекомендации ISSP:

- Не открывать подозрительные вложения в письмах от неизвестных адресатов, не переходить по подозрительным ссылкам (например “обновление flash-плеера”).

- Заблокировать доступ к указанным ссылкам (следите за обновлениями индикаторов компрометации на сайте ISSP или обратитесь к нам за оформлением подписки на индикаторы)

- Установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office (CVE-2017-11826). 

- Не работать под правами администратора.

 

Дополнительные рекомендации для крупных организаций и предприятий критической инфрастуктуры:

 

-       незамедлительно провести экспертизу и на основании полученных результатов внедрить технологии постоянного мониторинга компьютерной инфрастукутуры и активности пользователей с целью выявления и устранения атак на их ранних стадиях.

 

Детальный реверс-анализ образца Locky1024 здесь.

 

СЛЕДУЮЩИЕ ШАГИ

Отправить запрос

ПОДПИСАТЬСЯ НА РАССЫЛКУ

Для подписки на новостной бюллетень
укажите адрес электронной почты