Эксперты дали рекомендации, как защититься от новых кибератак "Плохого кролика"
Эксперты дали рекомендации, как защититься от новых кибератак "Плохого кролика"
Кибератаки "Locky1024" и "BadRabbit" могут оказаться как новыми векторами хакерских атак, так и отвлечением внимания от продолжающейся "основной" кибератаки.
Об этом сообщает пресс-служба Международной группы компаний ISSP - эксперта по безопасности информационных систем.
Эксперты ISSP Labs работают над анализом поступивших в лабораторию образцов Locky1024 и BadRabbit.
"В данный момент можно с уверенностью сказать, что образец Locky1024 не содержит функционала перезаписи MBR и не использует Mimikatz для получения паролей и не распространяется дальше по локальной сети, что означает, что этот вектор не аналогичен Petya/NotPetya, как поспешно сообщали некоторые эксперты и компании по кибербезопасности. Данный вектор атаки может выступать прикрытием для другой, скрытой атаки, которая осталась незамеченной за всеобщим вниманием к шифровальщикам (такая же вероятность существует и по вектору BadRabbit).
Также еще раз обращаем внимание специалистов по кибербезопасности, что после Petya/NotPetya во многих организациях остались так называемые спящие агенты (Sleeper Agents), поэтому с высокой долей вероятности злоумышленники продолжают находиться и иметь доступ к инфраструктурам организаций как пострадавших, так и формально не пострадавших от NotPetya. Ответить положительно или отрицательно на вопрос о фактическом присутствии злоумышленников внутри инфраструктуры возможно только в процессе проведения соответствующей профессиональной экспертизы", - указано в опубликованном сообщении.
Рекомендации ISSP:
- Не открывать подозрительные вложения в письмах от неизвестных адресатов,
- не переходить по подозрительным ссылкам (например “обновление flash-плеера”).
- Заблокировать доступ к указанным ссылкам (следите за обновлениями индикаторов компрометации на сайте ISSP или обратитесь к нам за оформлением подписки на индикаторы)
- Установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office (CVE-2017-11826).
- Не работать под правами администратора.
- Дополнительные рекомендации для крупных организаций и предприятий критической инфраструктуры:
- незамедлительно провести экспертизу и на основании полученных результатов внедрить технологии постоянного мониторинга компьютерной инфраструктуры и активности пользователей с целью выявления и устранения атак на их ранних стадиях.
Напомним, что 24 октября в Украине были зафиксированы новые кибератаки, которые поразили целый ряд инфраструктурных объектов, в том числе Одесский аэропорт, банковские сервисы Киевского метро и другие. В данный момент пока нельзя однозначно утверждать, являются ли наблюдаемые векторы атак, один из которых получил предварительное название "Bad Rabbit", а второй эксперты ISSP Labs назвали Locky1024, самостоятельными новыми векторами, или же отвлечением внимания от продолжающейся "основной атаки", этап кульминации и зачистки по которой, получивший название Petya/NotPetya, наблюдался 27 июля 2017 года, и от которого пострадало большое количество компаний и государственных органов.