Эксперты дали рекомендации, как защититься от новых кибератак "Плохого кролика"

Кибератаки "Locky1024" и "BadRabbit" могут оказаться как новыми векторами хакерских атак, так и отвлечением внимания от продолжающейся "основной" кибератаки.

Об этом сообщает пресс-служба Международной группы компаний ISSP - эксперта по безопасности информационных систем.

Эксперты ISSP Labs работают над анализом поступивших в лабораторию образцов Locky1024 и BadRabbit.

"В данный момент можно с уверенностью сказать, что образец Locky1024 не содержит функционала перезаписи MBR и не использует Mimikatz для получения паролей и не распространяется дальше по локальной сети, что означает, что этот вектор не аналогичен Petya/NotPetya, как поспешно сообщали некоторые эксперты и компании по кибербезопасности. Данный вектор атаки может выступать прикрытием для другой, скрытой атаки, которая осталась незамеченной за всеобщим вниманием к шифровальщикам (такая же вероятность существует и по вектору BadRabbit).

Также еще раз обращаем внимание специалистов по кибербезопасности, что после Petya/NotPetya во многих организациях остались так называемые спящие агенты (Sleeper Agents), поэтому с высокой долей вероятности злоумышленники продолжают находиться и иметь доступ к инфраструктурам организаций как пострадавших, так и формально не пострадавших от NotPetya. Ответить положительно или отрицательно на вопрос о фактическом присутствии злоумышленников внутри инфраструктуры возможно только в процессе проведения соответствующей профессиональной экспертизы", - указано в опубликованном сообщении.

Рекомендации ISSP:

• Не открывать подозрительные вложения в письмах от неизвестных адресатов,
• не переходить по подозрительным ссылкам (например “обновление flash-плеера”).
• Заблокировать доступ к указанным ссылкам (следите за обновлениями индикаторов компрометации на сайте ISSP или обратитесь к нам за оформлением подписки на индикаторы) 
• Установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office (CVE-2017-11826).
• Не работать под правами администратора.
• Дополнительные рекомендации для крупных организаций и предприятий критической инфраструктуры:
•  незамедлительно провести экспертизу и на основании полученных результатов внедрить технологии постоянного мониторинга компьютерной инфраструктуры и активности пользователей с целью выявления и устранения атак на их ранних стадиях.

Напомним, что 24 октября в Украине были зафиксированы новые кибератаки, которые поразили целый ряд инфраструктурных объектов, в том числе Одесский аэропорт, банковские сервисы Киевского метро и другие. В данный момент пока нельзя однозначно утверждать, являются ли наблюдаемые векторы атак, один из которых получил предварительное название "Bad Rabbit", а второй эксперты ISSP Labs назвали Locky1024, самостоятельными новыми векторами, или же отвлечением внимания от продолжающейся "основной атаки", этап кульминации и зачистки по которой, получивший название Petya/NotPetya, наблюдался 27 июля 2017 года, и от которого пострадало большое количество компаний и государственных органов.