Остання хвиля кібератаки: що відбулося

в Кіберполіції кажуть, що з приводу атаки до них офіційно не звернулася жодна державна чи приватна установа

На початку тижня СБУ попередила користувачів про нову можливу хвилю кібератаки. За даними спецслужби, цілями зловмисників мали стати великі державні та приватні компанії, в яких потрібно було порушити функціонування їхніх ІТ-систем. Ця атака сталася вчора, і ось що про неї відомо.

Перші жертви

Про атаку на їхні системи повідомили аеропорт «Одеса» та Мінінфраструктури. В Одесі через напад затрималися рейси, не працювала електронна система зчитування коду квитків, збилося табло. Людям видавали виписані від руки квитки.

Також «ліг» старий сайт Державної авіаційної служби України. Новий веб-портал працював без збоїв. Пізніше стало відомо, що напали на Київський метрополітен. Через це пасажири не могли оплатити проїзд банківською карткою. Зависли каси в мережі супермаркетів Novus.

При цьому в Кіберполіції кажуть, що з приводу атаки до них офіційно не звернулася жодна державна чи приватна установа. Експерти кажуть, що масового ураження комп’ютерів не відбулося – траплялися лише поодинокі інциденти.

Як атакували

В атаці 24.10.2017 року використовувалася техніка Dynamic Data Exchange (DDE). Останній є механізмом, який дозволяє одним додаткам Office завантажувати дані з інших додатків Office. Наприклад, таблиця у файлі Word може автоматично оновлюватися при кожному відкритті файлу, і дані будуть «підтягуватися» з файлу Excel. Проблема в тому, що зловмисники навчилися використовувати DDE не для відкриття інших додатків Office, а для запуску командного рядка та виконання шкідливого коду.

Під час атаки при відкритті зараженого файла активувався скрипт, який підвантажував з інтернету на ПК користувача закодовані base64-алгоритмом дані. Це був шифрувальник файлів Badrabbit, який за відновлення доступу до інформації вимагав 0,5 біткоїна. За нинішнім курсом це приблизно $2500.

Як посилити свій захист

Підвищити свою безпеку можна за допомогою таких дій:

– увімкніть щоденне оновлення системного програмного забезпечення, встановіть оновлення KB3213630 (Windows 10);

– заблокуйте доступ до домену x90.im, з якого завантажується шкідливе програмне забезпечення;

– не відкривайте вкладення електронної пошти, зокрема, у форматах .doc і .rtf, які надійшли від неперевіреного відправника;

– створіть свіжі резервні копії;

– якщо у вас MS Outlook і MS Exchange, не відкривайте файли безпосередньо в додатках MS Office. Обов’язково користуйтеся засобами попереднього перегляду вмісту;

– забороніть доступ в інтернет для процесів WScript.exe, CScript.exe, Powershell.exe;

– забороніть читання/запис у каталогах %appdata% і %temp% для файлів *.JS*, *.VB*, *.WS*, *.EXE.

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я