В начале недели СБУ предупредили пользователей о новой возможной волне кибератак. По данным спецслужбы, целями злоумышленников должны были стать крупные государственные и частные компании, в которых нужно было нарушить функционирование IT-систем. Эта атака произошла вчера, и вот что о ней известно.
Первые жертвы
Об атаке на их системы сообщили аэропорт «Одесса» и Мининфраструктуры. В Одессе из-за нападения задержались рейсы, не работала электронная система считывания кода билетов, табло сбилось. Людям выдавали выписанные от руки билеты.
Также «лег» старый сайт Государственной авиационной службы Украины. Новый веб-портал работал без сбоев. Позже стало известно, что напали на киевский метрополитен. Из-за этого пассажиры не могли оплатить проезд банковской картой. Зависли кассы в сети супермаркетов Novus.
При этом в Киберполиции говорят, что по поводу атаки к ним официально не обратилась ни одна государственная или частная организация. Эксперты говорят, что массового поражения компьютеров не произошло – встречались лишь единичные инциденты.
Как атаковали
В атаке 24.10.2017 года использовалась техника Dynamic Data Exchange (DDE). Последний является механизмом, который позволяет одним приложениям Office загружать данные из других приложений Office. Например, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel. Проблема в том, что злоумышленники научились использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода.
Во время атаки при открытии зараженного файла активировался скрипт, который подгружал с интернета на ПК пользователя закодированные base64 алгоритмом данные. Это был шифровальщик файлов Badrabbit, который за возобновление доступа к информации требовал 0,5 биткоина. По нынешнему курсу это примерно $2500.
Как усилить свою защиту
Повысить свою безопасность можно с помощью следующих действий:
— включите ежедневное обновление системного программного обеспечения, установите обновление KB3213630 (Windows 10);
— заблокируйте доступ к домену x90.im, с которого загружается вредоносное программное обеспечение;
— не открывайте вложения электронной почты, в том числе в форматах .doc и .rtf, которые поступили от непроверенного отправителя;
— создайте свежие резервные копии;
— если у вас MS Outlook и MS Exchange, не открывайте файлы непосредственно в приложениях MS Office. Обязательно пользуйтесь средствами предварительного просмотра содержимого;
— запретите доступ в интернет для процессов WScript.exe, CScript.exe, Powershell.exe;
— запретите чтение/запись в каталогах %appdata% и %temp% для файлов *.JS*, *.VB*, *.WS*, *.EXE.
