27 июня – накануне Дня Конституции Украины – многие украинские компании подверглись масштабной кибератаке вируса-шифровальщика Petya.A. Однако в СБУ считают, что эта атака была не последней и предупреждают о возможных новых деструктивных действий со стороны злоумышленников. В связи с этим СБУ разработала рекомендации, которые призваны обезопасить украинские компании о возможных новых проблем.
Отмечается, что во время анализа последствий и предпосылок этой предыдущей кибератаки было установлено, что ей предшествовал сбор данных о предприятиях Украины. Злоумышленники собирали сведения следующего характера: электронные почты, пароли к учетным записям, которые используются предприятиями и их сотрудниками, реквизиты доступа к командно-контрольным серверам и другая информация, которая отсутствует в открытом доступе. Эти сведения отправлялись на сервера злоумышленников.
Специалисты СБУ предполагают, что именно эта информация и была целью первой волны кибератаки и может быть использована настоящими инициаторами как для проведения киберразведки, так и в целях дальнейших деструктивных акций.
Причём, у злоумышленников, которые в результате проведенной кибератаки Petya.A несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированной учтенной записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны.
В связи с этим, системным администраторам или уполномоченным лицам по информационной безопасности рекомендуется в кратчайшие сроки провести такие действия в приведенном порядке:
- осуществить обязательную смену пароля доступа пользователя krbtgt;
- осуществить обязательную смену паролей доступа ко всем без исключения учетным записям в подконтрольной доменной зоне ИТС (информационно-телекоммуникационной системы);
- осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС;
- на выявленных скомпрометированных компьютерах осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;
- повторно осуществить смену пароля доступа пользователя krbtgt;
- перезагрузить службы KDC.
Рекомендуется в дальнейшем избегать сохранения в ИТС аутентификации данных в открытом виде (необходимо использовать для таких целей специализированное программное обеспечение).
Источник: СБУ
- 27 июня вирус-шифровальщик массированно атаковал компьютеры многих компаний Украины.
- Вслед за Украиной вирус-вымогатель Petya.A распространился и на другие страны.
- Киберполиция Украины назвала в качестве одного из виновников распространения вируса-шифровальщика Petya.A программное обеспечение «M.E.doc».
- По данным ESET, главной жертвой вируса-шифровальщика Petya.A стала Украина, где зарегистрировано более 75% всех случаев заражения.
- Несмотря на то, что вирус пытается сделать невозможным восстановление данных на накопителе после заражения, Киберполиция Украины приводит советы, как вернуть доступ к компьютеру после атаки Petya.A.
- СБУ заявляет, что к кибератаке вирусом Petya.A на украинские компании и органы власти причастны спецслужбы России.