Информационные ресурсы Украины могут подвергнуться новой волне кибератак.

Об этом предупреждает команда реагирования на компьютерные чрезвычайные события Украины CERT-UA Государственной службы специальной связи и защиты информации.

“Команда реагирования на компьютерные чрезвычайные события Украины CERT-UA Государственной службы специальной связи и защиты информации Украины сообщает о возможном начале новой волны кибератак на информационные ресурсы Украины 24.10.2017… Просим владельцев информационно-телекоммуникационных систем, других информационных ресурсов, в первую очередь транспортной инфраструктуры, а также рядовых Интернет-пользователей соблюдать усиленные требования кибербезопасности”, – говорится в сообщении.

Также указано, что пока что было установлены “единичные случаи поражения”.

ЧИТАЙТЕ ТАКЖЕ: Рада поддержала создание национальной системы кибербезопасности

Согласно предварительной информации, в сегодняшней атаке на некоторые объекты инфраструктуры Украины использовалась техника DDE, которая активировала выполнение вредоносного кода на компьютере пользователя. Через DDE-атаку происходило распространение шифровальщика Locky.

Так, команде CERT-UA был отправлен для анализа файл, который для дальнейшей эксплуатации использует DDE-уязвимость. Выявить DDE-атаку можно с помощью YARA-сигнатуры.

В результате активации пользователем гиперссылки активировался powershell-скрипт, который загружал в систему пользователя закодированные алгоритмом данные.

Скрипт, в частности, загружал в систему адрес загрузчика под названием heropad64.ехе, который в дальнейшем активировал на компьютере пользователя шифровальщик файлов Locky.

В связи с этим в CERT-UA рекомендуют:

– заблокировать доступ к подозрительным ссылкам;

– установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office;

– обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, в которых автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и т. д.), а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов, – архивов, исполняемых файлов и т. д.;

ЧИТАЙТЕ ТАКЖЕ: СБУ предупредила о масштабной кибератаке на компании и госструктуры

– системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности почтового веб-трафика;

– не работать под правами администратора;

– ограничить возможность запуска исполняемых файлов (*.exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%;

– обратиться к рекомендациям CERT-UA по поводу безопасности почтовых сервисов.

Госспецсвязи также приводит командно-контрольный центр шифровальщика (hxxp://gdiscoun.org) и индикаторы компрометации (активность и / или вредоносный объект, – ред.): hxxp://urcho.com/JHGGsdsw6; hxxp://tatianadecastelbajac.fr/kjhgFG; hxxp://video.rb-webdev.de/kjhgFG; hxxp://themclarenfamily.com/kjhgFG; hxxp://webhotell.enivest.no/cuYT39.enc; hxxp://gdiscoun.org.

Технология Microsoft Dynamic Data Exchange (DDE) позволяет одним приложениям Office загружать данные из других приложений Office. К примеру, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут загружаться из файла Excel.

По сути, DDE позволяет пользователю встроить в документ кастомное поле, в котором можно задать местоположение данных, которые следует подгружать. Проблема в том, что злоумышленники научились использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода.

Эксперты Internet Storm Center ранее сообщали, что один из крупнейших ботнетов мира, Necurs, насчитывающий более 6 млн зараженных машин, начал эксплуатировать DDE для распространения шифровальщика Locky и банковского трояна TrickBot. К загрузке традиционно приводит открытие вредоносных документов Office, приложенных к спамерским письмам. Но теперь злоумышленники внедряют в документы DDE.

Аналитики Trend Micro пишут, что Necurs также распространяет вирус посредством HTML-вложений, документов Word, содержащих макросы или скрипты Visual Basic, файлов VBS, JS и JSE, скрывающихся в архивах RAR, ZIP и 7ZIP, и так далее.

Ранее сегодня стало известно, что Киевский метрополитен, аэропорт Одессы и Министерство инфраструктуры Украины подверглись хакерской атаке.
13 октября команда быстрого реагирования на компьютерные чрезвычайные события Украины (CERT-UA), которая функционирует в рамках Государственной службы специальной связи и защиты информации, предупредила об угрозе, схожей с вирусом Petya.A кибератаки на украинские информационные ресурсы с 13 по 17 октября 2017 года.
27 июня в Украине начал стремительно распространяться компьютерный вирус, который парализовал работу многих учреждений, в том числе банков, государственных и коммунальных предприятий. В результате хакерских атак пострадали такие компании: “Киевэнерго”, “Укрэнерго”, “Антонов”, ДТЭК, “Укртелеком”, “Эпицентр”, “Укрзализныця”, аэропорт “Борисполь”, “Новая почта”, Киевводоканал, “Укрпочта”,Киевский метрополитен. Впоследствии в Службе безопасности Украины заявили о причастности спецслужб Российской Федерации к атаке вируса Petya.A.