Воскресенье, 22 декабря, 2024

Последняя волна кибератаки: что произошло

В начале недели СБУ предупредили пользователей о новой возможной волне кибератак. По данным спецслужбы, целями злоумышленников должны были стать крупные государственные и частные компании, в которых нужно было нарушить функционирование IT-систем. Эта атака произошла вчера, и вот что о ней известно.

Первые жертвы

Об атаке на их системы сообщили аэропорт «Одесса» и Мининфраструктуры. В Одессе из-за нападения задержались рейсы, не работала электронная система считывания кода билетов, табло сбилось. Людям выдавали выписанные от руки билеты.

Также «лег» старый сайт Государственной авиационной службы Украины. Новый веб-портал работал без сбоев. Позже стало известно, что напали на киевский метрополитен. Из-за этого пассажиры не могли оплатить проезд банковской картой. Зависли кассы в сети супермаркетов Novus.

При этом в Киберполиции говорят, что по поводу атаки к ним официально не обратилась ни одна государственная или частная организация. Эксперты говорят, что массового поражения компьютеров не произошло – встречались лишь единичные инциденты.

Как атаковали

В атаке 24.10.2017 года использовалась техника Dynamic Data Exchange (DDE). Последний является механизмом, который позволяет одним приложениям Office загружать данные из других приложений Office. Например, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel. Проблема в том, что злоумышленники научились использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода.

Во время атаки при открытии зараженного файла активировался скрипт, который подгружал с интернета на ПК пользователя закодированные base64 алгоритмом данные. Это был шифровальщик файлов Badrabbit, который за возобновление доступа к информации требовал 0,5 биткоина. По нынешнему курсу это примерно $2500.

Как усилить свою защиту

Повысить свою безопасность можно с помощью следующих действий:

— включите ежедневное обновление системного программного обеспечения, установите обновление KB3213630 (Windows 10);

— заблокируйте доступ к домену x90.im, с которого загружается вредоносное программное обеспечение;

— не открывайте вложения электронной почты, в том числе в форматах .doc и .rtf, которые поступили от непроверенного отправителя;

— создайте свежие резервные копии;

— если у вас MS Outlook и MS Exchange, не открывайте файлы непосредственно в приложениях MS Office. Обязательно пользуйтесь средствами предварительного просмотра содержимого;

— запретите доступ в интернет для процессов WScript.exe, CScript.exe, Powershell.exe;

— запретите чтение/запись в каталогах %appdata% и %temp% для файлов *.JS*, *.VB*, *.WS*, *.EXE.

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися