На початку тижня СБУ попередила користувачів про нову можливу хвилю кібератаки. За даними спецслужби, цілями зловмисників мали стати великі державні та приватні компанії, в яких потрібно було порушити функціонування їхніх ІТ-систем. Ця атака сталася вчора, і ось що про неї відомо.
Перші жертви
Про атаку на їхні системи повідомили аеропорт «Одеса» та Мінінфраструктури. В Одесі через напад затрималися рейси, не працювала електронна система зчитування коду квитків, збилося табло. Людям видавали виписані від руки квитки.
Також «ліг» старий сайт Державної авіаційної служби України. Новий веб-портал працював без збоїв. Пізніше стало відомо, що напали на Київський метрополітен. Через це пасажири не могли оплатити проїзд банківською карткою. Зависли каси в мережі супермаркетів Novus.
При цьому в Кіберполіції кажуть, що з приводу атаки до них офіційно не звернулася жодна державна чи приватна установа. Експерти кажуть, що масового ураження комп’ютерів не відбулося – траплялися лише поодинокі інциденти.
Як атакували
В атаці 24.10.2017 року використовувалася техніка Dynamic Data Exchange (DDE). Останній є механізмом, який дозволяє одним додаткам Office завантажувати дані з інших додатків Office. Наприклад, таблиця у файлі Word може автоматично оновлюватися при кожному відкритті файлу, і дані будуть «підтягуватися» з файлу Excel. Проблема в тому, що зловмисники навчилися використовувати DDE не для відкриття інших додатків Office, а для запуску командного рядка та виконання шкідливого коду.
Під час атаки при відкритті зараженого файла активувався скрипт, який підвантажував з інтернету на ПК користувача закодовані base64-алгоритмом дані. Це був шифрувальник файлів Badrabbit, який за відновлення доступу до інформації вимагав 0,5 біткоїна. За нинішнім курсом це приблизно $2500.
Як посилити свій захист
Підвищити свою безпеку можна за допомогою таких дій:
– увімкніть щоденне оновлення системного програмного забезпечення, встановіть оновлення KB3213630 (Windows 10);
– заблокуйте доступ до домену x90.im, з якого завантажується шкідливе програмне забезпечення;
– не відкривайте вкладення електронної пошти, зокрема, у форматах .doc і .rtf, які надійшли від неперевіреного відправника;
– створіть свіжі резервні копії;
– якщо у вас MS Outlook і MS Exchange, не відкривайте файли безпосередньо в додатках MS Office. Обов’язково користуйтеся засобами попереднього перегляду вмісту;
– забороніть доступ в інтернет для процесів WScript.exe, CScript.exe, Powershell.exe;
– забороніть читання/запис у каталогах %appdata% і %temp% для файлів *.JS*, *.VB*, *.WS*, *.EXE.
