Новая кибератака в Украине: как защититься от вируса [ Редагувати ]

Служба безопасности Украины предупреждает о возможной новой хакерской атаке на сети украинских учреждений и предприятий.

Как сообщают в пресс-службе ведомства, хакерской атаке предшествовал сбор данных о предприятиях Украины (электронные почты, пароли учетных записей, которые используются предприятиями и их сотрудниками, реквизиты доступа к командно-контрольным серверам, хэш-данные учетных записей пользователей в пораженных системах и другая информация, которая отсутствует в открытом доступе), с последующим их сокрытием в файлах cookies и отправлением на командный сервер.

В СБУ предполагают, что именно эта информация будет использована в целях дальнейших деструктивных акций. Об этом свидетельствует обнаруженная специалистами во время исследования кибератаки Petya утилита Mimikatz, которая использует архитектурные особенности службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена.

Работа службы Kerberos базируется на обмене и верификации так называемых "билетов доступа" (TGT-билетов). В регламентах по информационной безопасности большинства учреждений и организаций смена пароля пользователя krbtgt не предусмотрена.

Таким образом у злоумышленников, которые в результате проведенной кибератаки Petya несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор администратора системы (SID 500).

В связи с этим, СБУ рекомендует системным администраторам в кратчайшие сроки провести следующие действия в таком порядке:

• осуществить обязательную замену пароля доступа пользователя krbtgt;
• осуществить обязательную замену паролей доступа ко всем без исключения учетным записям в подконтрольной доменной зоне ИТС;
• осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС;
• на выявленных скомпрометированных ПЭВМ осуществить обязательную замену всех паролей, которые хранились в настройках браузеров;
• повторно осуществить смену пароля доступа пользователя krbtgt;
• перезагрузить службы KDC".

"Рекомендуем в дальнейшем избегать сохранения в ИТС аутентификации данных в открытом виде (использовать для таких целей специализированное программное обеспечение)", - говорится в сообщении спецслужбы.

Напомним, 27 июня в Украине хакеры атаковали ряд крупных предприятий и учреждений. В частности, заблокированными оказались компьютеры крупнейших сервисов и интернет-изданий. Вымогатели требуют $300 за разблокировку компьютера.

Вирус поразил все компьютеры в Кабмине, в "Борисполе" возможна задержка рейсов. Киевский метрополитен также пострадал от кибератаки: из-за вируса не работают платёжные терминалы. Вирус поразил 22 учреждения, сообщили в киберполиции. Тем временем, в СБУ назвали возможных виновников.

Полный список компаний, которые пострадали от вируса, можно найти тут.

Тем временем в Microsoft установили, как произошло заражение первых компьютеров. Позже в СБУ заявили о причастности спецслужб России к атаке вируса.

Накануне украинская полиция конфисковала серверы компании по разработке бухгалтерского программного обеспечения M.E.Doc по подозрению в распространении вредоносного вируса.