Опубликовано

ESEТ: 84% компаний недооценивают риски, связанные с человеческим фактором

Четыре компании из пяти недооценивают риски информационной безопасности, связанные с человеческим фактором. К этому выводу пришла антивирусная компания ESET, опросив интернет-пользователей из России и СНГ.

Респондентам предложили выбрать ответ на вопрос «Проходили ли вы на работе тренинг по информационной безопасности?». Читать далее ESEТ: 84% компаний недооценивают риски, связанные с человеческим фактором

Share Button
Опубликовано

ESET обнаружила сложный бэкдор, который использовался для установки шифраторов Petya и XData

ESET представила новый отчет об эпидемии шифратора Diskcoder.C (Petya). Исследование позволило определить начальный вектор заражения.

От Diskcoder.C (Petya) пострадали компании в ряде стран мира, при этом «нулевым пациентом» стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчетности и документооборота. Атакующие получили доступ к серверу обновлений M.E.Doc и с его помощью направляли троянизированные обновления с автоматической установкой. Читать далее ESET обнаружила сложный бэкдор, который использовался для установки шифраторов Petya и XData

Share Button
Опубликовано

Petya и другие. ESET опубликовала отчет о деструктивных атаках на корпоративный сектор

По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, исследователи ESET предполагают, что за эпидемией Diskcoder.C (Petya) стоит кибергруппа Telebots.

В декабре 2016 года ESET публиковала исследование об атаках группы на украинские финансовые компании. Злоумышленники выводили компьютеры из строя при помощи вредоносной программы KillDisk для перезаписи и удаления файлов с определенными целевыми расширениями. Атаки носили деструктивный характер, финансовая выгода никогда не была главным приоритетом для этой группы.

Для второй волны атак Telebots доработали KillDisk, добавив функцию шифрования и сообщение о выкупе, что придавало сходство с обыкновенным вымогателем. Тем не менее, авторы запрашивали за восстановление данных рекордную сумму – 222 биткоина (около 250 тысяч долларов по нынешнему курсу). Очевидно, целью хакеров оставался саботаж.

petya.jpg

С января по март 2017 года TeleBots скомпрометировали украинскую компанию-разработчика программного обеспечения (не M.E.Doc), чтобы получить доступ к ИТ-сетям финансовых учреждений. Для этой атаки группа видоизменила используемые ранее бэкдоры и пополнила арсенал новыми шифраторами. Кроме того, атакующие использовали версию утилиты Mimikatz для извлечения учетных записей Windows из памяти зараженного компьютера и PsExec для распространения угрозы внутри сети.

18 мая ESET зафиксировала активность шифратора Win32/Filecoder.AESNI.C (XData). По данным телеметрии, он появлялся на компьютере сразу после запуска программного обеспечения для отчетности и документооборота украинского разработчика M.E.Doc. Далее XData автоматически распространялся в сети с помощью Mimikatz и PsExec. Вскоре после атаки мастер-ключи шифратора были опубликованы на форуме BleepingComputer. ESET выпустила дешифратор для жертв XData.

27 июня началась эпидемия Diskcoder.C (Petya). Код вредоносной программы частично позаимствован у шифратора Win32/Diskcoder.Petya, но изменен таким образом, что восстановить данные невозможно. Список целевых расширений хотя и не полностью идентичен, но очень похож на используемый в атаках KillDisk в декабре 2016 года.

Для распространения внутри корпоративной сети Petya использует знакомые методы: эксплойт EternalBlue (его применяли авторы WannaCry), Mimikatz в сочетании с PsExec (как в XData), а также механизм WMI.

Как и XData, шифратор Petya использовал в качестве начального вектора заражения программное обеспечение M.E.Doc. Более того, есть признаки, указывающие на то, что Petya и XData – не единственные семейства вредоносных программ, использовавшие этот вектор заражения. В частности, через сервер обновлений M.E.Doc распространялся VBS-бэкдор из арсенала группы TeleBots.

«Внедрение в инфраструктуру M.E.Doc и ее клиентов обеспечило широкие возможности для распространения Diskcoder.C, – комментирует Антон Черепанов, старший вирусный аналитик ESET. – Атака продемонстрировала глубокое понимание ресурсов, имеющихся в распоряжении кибергруппы. Возможности эксплойта EternalBlue – еще одна проблема, с которой специалисты по информационной безопасности будут сталкиваться все чаще».

Полный текст отчета ESET доступен в блоге на Хабрахабр.

Share Button
Опубликовано

Эпидемия шифратора Win32/Diskcoder.C Trojan.Рекомендации ESET

Начиная с 27 июня сотни компаний в Европе, Азии и Америке стали жертвами эпидемии трояна-шифратора семейства Petya. Вирусные эксперты ESET продолжают изучение угрозы.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan. Если Diskcoder.C успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Источником эпидемии стала компрометация программного обеспечения для отчетности и документооборота M.E.Doc, широко распространенного в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало масштабной атаке.

ESET установила, что пострадавшие от эпидемии системы имели доступ к украинским сетям через VPN. В настоящее время у вредоносной программы не обнаружено функций, позволяющих распространяться за пределы локальных сетей.

Шифратор распространяется внутри сетей посредством PsExec и SMB-эксплойта EternalBlue, который ранее обусловил массовый характер заражения WannaCry. Это сочетание обеспечивает высокую скорость развития эпидемии.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

По данным системы телеметрии ESET, большинство атак, отраженных антивирусными продуктами ESET на рабочих станциях, нацелено на Украину, Германию, Польшу, Сербию, Грецию. Россия вошла в первую десятку атакуемых по итогам второго дня эпидемии.

Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени 27 июня, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Более подробная информация о защите от шифраторов доступна на сайте noransom.esetnod32.ru

Профилактика:

  1. Если у вас нет SysRescue Live CD/DVD или USB для вашей системы, скачайте ESET SysRescue Live и создайте загрузочный диск.
  2. Выключите все компьютеры в сети.
  3. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносных программ с включенным обнаружением потенциально нежелательных приложений.
  4. В главной директории Windows (например, C:\Windows) откройте текстовый редактор Linux и создайте три пустых файла со следующими названиями и расширениями. Вы можете создать эти файлы с помощью следующей команды: Echo.>%windir%\[filename], например, Echo.>%windir%\perfc
    • c:\windows\perfc
    • c:\windows\perfc.dat
    • c:\windows\perfc.dl
  5. Если это возможно, отключите протокол SMBv1:
  6. Если на компьютере установлена учетная запись локального администратора, отключите ее или, по крайней мере, замените пароль на более сложный: минимум 10 символов, включая прописные и строчные буквы, цифры и специальные символы. Не используйте обычные слова.
    • если все компьютеры находятся в домене, смените пароли администратора домена на более сложные.
    • не используйте одинаковые аутентификационные данные на рабочих станциях и серверах.
  7. Отключите скрытые административные ресурсы ADMIN$ или ограничьте к ним доступ.
  8. Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке.
  9. Откажитесь от использования устаревших ОС, которые не поддерживаются производителем. До замены можно установить обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
  10. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения. Корпоративные пользователи ESET могут отправить обновления на все рабочие станции или установить обновление. Для домашних пользователей также доступно обновление.
  11. При необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке
  12. Убедитесь, что подключаете к корпоративной сети только просканированные на предмет угроз компьютеры с установленными обновлениями безопасности.

 

Если на экране появилось требование выкупа:

  1. Выключите компьютер.
  2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносных программ с включенным обнаружением потенциально нежелательных приложений.
  3. Проверьте, зашифрован ли диск. Это можно сделать разными способами:
    • загрузите компьютер в консоли восстановления Windows (Windows Recovery Console) с установочного диска Windows
    • восстановите MBR, запустив команду fixmbr
    • загрузите компьютер с Linux Live CD/USB
    • используйте TestDisk, чтобы исправить MBR
  4. Если диск уже зашифрован, и у вас нет важных данных на дисках:
    • переустановите операционную систему или восстановите ее из бэкапа
    • см. раздел «Профилактика»
  5. Если на зашифрованных дисках были важные данные:
    • используйте ESET SysRecue Live для создания полной копии диска
    • переустановите операционную систему или восстановите ее из бэкапа
    • см. раздел «Профилактика»
    • ожидайте дальнейших инструкций ESET
  6. Если заражение произошло, не рекомендуем платить выкуп злоумышленникам по следующим причинам:
    • почтовый адрес операторов Petya был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена;
    • выкуп ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получает ключ расшифровки – его может не быть у самих хакеров;
    • получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости;
    • выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.
Share Button