Неділя, 22 Грудня, 2024

Остання хвиля кібератаки: що відбулося

На початку тижня СБУ попередила користувачів про нову можливу хвилю кібератаки. За даними спецслужби, цілями зловмисників мали стати великі державні та приватні компанії, в яких потрібно було порушити функціонування їхніх ІТ-систем. Ця атака сталася вчора, і ось що про неї відомо.

Перші жертви

Про атаку на їхні системи повідомили аеропорт «Одеса» та Мінінфраструктури. В Одесі через напад затрималися рейси, не працювала електронна система зчитування коду квитків, збилося табло. Людям видавали виписані від руки квитки.

Також «ліг» старий сайт Державної авіаційної служби України. Новий веб-портал працював без збоїв. Пізніше стало відомо, що напали на Київський метрополітен. Через це пасажири не могли оплатити проїзд банківською карткою. Зависли каси в мережі супермаркетів Novus.

При цьому в Кіберполіції кажуть, що з приводу атаки до них офіційно не звернулася жодна державна чи приватна установа. Експерти кажуть, що масового ураження комп’ютерів не відбулося – траплялися лише поодинокі інциденти.

Як атакували

В атаці 24.10.2017 року використовувалася техніка Dynamic Data Exchange (DDE). Останній є механізмом, який дозволяє одним додаткам Office завантажувати дані з інших додатків Office. Наприклад, таблиця у файлі Word може автоматично оновлюватися при кожному відкритті файлу, і дані будуть «підтягуватися» з файлу Excel. Проблема в тому, що зловмисники навчилися використовувати DDE не для відкриття інших додатків Office, а для запуску командного рядка та виконання шкідливого коду.

Під час атаки при відкритті зараженого файла активувався скрипт, який підвантажував з інтернету на ПК користувача закодовані base64-алгоритмом дані. Це був шифрувальник файлів Badrabbit, який за відновлення доступу до інформації вимагав 0,5 біткоїна. За нинішнім курсом це приблизно $2500.

Як посилити свій захист

Підвищити свою безпеку можна за допомогою таких дій:

– увімкніть щоденне оновлення системного програмного забезпечення, встановіть оновлення KB3213630 (Windows 10);

– заблокуйте доступ до домену x90.im, з якого завантажується шкідливе програмне забезпечення;

– не відкривайте вкладення електронної пошти, зокрема, у форматах .doc і .rtf, які надійшли від неперевіреного відправника;

– створіть свіжі резервні копії;

– якщо у вас MS Outlook і MS Exchange, не відкривайте файли безпосередньо в додатках MS Office. Обов’язково користуйтеся засобами попереднього перегляду вмісту;

– забороніть доступ в інтернет для процесів WScript.exe, CScript.exe, Powershell.exe;

– забороніть читання/запис у каталогах %appdata% і %temp% для файлів *.JS*, *.VB*, *.WS*, *.EXE.

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися