Російські найманці запустили “шкідливий код” на комп’ютерах

24.10.2017 agency НОВИНИ, УКРАЇНА 0

кібератаки 2017

Державна служба спеціального зв’язку та захисту інформації повідомляє про початок нової хвилі кібератак на інформаційні ресурси України.

У кібератаці 24 жовтня 2017 рокуна об’єкти інфраструктури України використовувалася техніка DDE, яка активувала виконання шкідливого коду на комп’ютерах користувачів. Про це повідомляє українське інформаційне агентство нових медіа Ukrainian Agency з посиланням на повідомлення CERT-UA.

“Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України повідомляє про початок нової хвилі кібератак на інформаційні ресурси України 24.10.2017”, – йдеться у повідомленні.

Власників інформаційно-телекомунікаційних систем, інших інформаційних ресурсів, у першу чергу транспортної інфраструктури, а також пересічних інтернет-користувачів просять дотримуватися посилених вимог кібербезпеки.

Раніше повідомлялося, що про нові кібератаки заявили столичний метрополітен та аеропорт в Одесі.

Крім того, у вівторок 24 жовтня деякі ЗМІ повідомляли, що на Мінінфраструктури була здійснена кібератака. У самому ж міністерстві заявили, що вживають заходів з підвищення інформаційної безпеки у зв’язку із зростанням кіберзагрози.

Поліція повідомляє, що наразі до кіберполіції з приводу атаки не звернулася жодна державна установа, фіксуються лише поодинокі випадки кіберінцидентів.

Розповсюдження шифрувальника Locky через DDE-атаку

Командно-контрольний центр шифрувальника:

 hxxp://gdiscoun.org

Індикатори компрометації:

hxxp://urcho.com/JHGGsdsw6
hxxp://tatianadecastelbajac.fr/kjhgFG
hxxp://video.rb-webdev.de/kjhgFG
hxxp://themclarenfamily.com/kjhgFG
hxxp://webhotell.enivest.no/cuYT39.enc
hxxp://gdiscoun.org

 

Рекомендації CERTUA: 

  1. Заблокувати доступ до зазначених посилань.
  2. Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826).  (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
  3. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т. ін.).
  4. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку.
  5. Не працювати під правами адміністратора.
  6. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  7. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.