У поліції назвали мотиви хакерів, які влаштували кібератаку

25 Жовтня 2017, 19:34

Серед постраждалих країн Україну вразило менше, повідомляють в Кіберполіції

<p style="text-align: justify;">Фото: buhbiz.com.ua</p>
Фото: buhbiz.com.ua

На відміну від "NotPetya" вірус-шифрувальник "BadRabbit" не має на меті знищення інформації на жорстких дисках уражених комп'ютерів, його мета – вимагання грошей. Про це повідомили в Кіберполіції.

"Фахівці відзначають, що справжньою метою цієї" атаки "було бажання зловмисників збагатитися і вона була здійсненна виключно з корисливих мотивів", – йдеться в повідомленні.

Для поширення вірусу використовувалися "фейкові" оновлення програмного забезпечення "Adobe Flash Player". Про це можна говорити на підставі попереднього аналізу даних, отриманих в результаті роботи фахівців підрозділу.

Як зазначається, 24 жовтня було зафіксовано поодинокі атаки типу "drive-by-download" з використанням програми шифрувальника, який отримав назву "BadRabbit".

"Слід зазначити, що серед постраждалих країн, Україну вразило менше. Кіберполіція зазначає, що аудиторія українських користувачів не є масовою і становить близько 12% від загальної кількості разів скачування інфікованих оновлень", – йдеться в повідомленні.

Кіберполіція також надала перелік уражених інтернет сайтів, з яких було зафіксовано поширення фальшивих Оновлення "Flash":

  • Hxxp: // argumentiru [.] Com
  • Hxxp: //www.fontanka [.] Ru
  • Hxxp: // grupovo [.] Bg
  • Hxxp: //www.sinematurk [.] Com
  • Hxxp: //www.aica.co [.] Jp
  • Hxxp: // spbvoditel [.] Ru
  • Hxxp: // argumenti [.] Ru
  • Hxxp: //www.mediaport [.] Ua
  • Hxxp: //blog.fontanka [.] Ru
  • Hxxp: // an-crimea [.] Ru
  • Hxxp: //www.t.ks [.] Ua
  • Hxxp: // most-dnepr [.] Info
  • Hxxp: //osvitaportal.com [.] Ua
  • Hxxp: //www.otbrana [.] Com
  • Hxxp: //calendar.fontanka [.] Ru
  • Hxxp: //www.grupovo [.] Bg
  • Hxxp: //www.pensionhotel [.] Cz
  • Hxxp: //www.online812 [.] Ru
  • Hxxp: //www.imer [.] Ro
  • Hxxp: //novayagazeta.spb [.] Ru
  • Hxxp: //i24.com [.] Ua
  • Hxxp: //bg.pensionhotel [.] Com
  • Hxxp: // ankerch-crimea [.] Ru

Як зазначається, після відвідування ураженого сайту, користувачеві пропонується завантажити до себе на комп'ютер виконуваний файл-завантажувач (так званий "Дроппер"), який маскується під оновлення програмного забезпечення "Adobe Flash Player". Шкідлива програма для подальшого спрацювання повинна запускатися з правами адміністратора.

Кіберполіція також представила рекомендації для користувачів, щоб не стати жертвою вірусу-шифрувальника або вимагача на кшталт "BadRabbit":

  • робіть тіньове копіювання файлів для відновлення даних у разі шифрування.
  • заблокуйте виконання файлів c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat;
  • заборонити (якщо це можливо) використання служби WMI;
  • заборонити виконання наступних завдань: viserion_, rhaegal, drogon;
  • проведіть оновлення операційної системи і системи безпеки;
  • заблокуйте ip-адреси і доменні імена, з яких відбувалося поширення шкідливих файлів;
  • налаштуванням групової політики забороніть зберігання паролів в LSA Dump у відкритому вигляді;
  • змініть всі паролі на складні для запобігання атаки по словнику (brute-force)
  • налаштуйте блокування спливаючих вікон у браузері;
  • застосувати сучасні засоби виявлення вторгнень і пісочницю ( "sandbox") для аналізу підозрілих файлів;

Раніше повідомлялося, що співробітники Служби безпеки України оперативно проаналізували і блокували нові випадки ураження комп'ютерів українського сегмента мережі шкідливим програмним забезпеченням.

Нагадаємо, 24 жовтня кібератакам піддалися Київський метрополітен і Одеський аеропорт, де в результаті дії вірусу-шифрувальника було заблоковано функціонування служби реєстрації пасажірів. Розповсюдження вірусу припинено, загроз безпеки руху немає ", – заявили в СБУ.

У спецслужбі підкреслили, що для запобігання несанкціонованого блокування інформаційних систем необхідно дотримуватися наступних рекомендацій:

  • забезпечити щоденне оновлення системного програмного забезпечення, в т.ч. OS Windows всіх без винятку версій, також обов'язково встановити оновлення KB3213630 (Windows 10);
  • в настройках мережевої безпеки заблокувати доступ до домену x90DOTim, з якого завантажується шкідливе програмне забезпечення (Увага! Не відкривати в браузері! При блокуванні замінити DOT на точку);
  • не відкривати вкладення електронної пошти, в тому числі в форматах .doc та .rtf, що надійшли від неперевіреного відправника;
  • забезпечити дотримання загальних правил інформаційної безпеки, зокрема створення резервних копій, своєчасне оновлення антивірусного і прикладного програмного забезпечення.

Команда швидкого реагування на комп'ютерні надзвичайні події України (CERT-UA) опублікувала свої рекомендації щодо захисту комп'ютера від вірусу-шифрувальника Locky на основі попереднього аналізу зараженого файлу..

Ви зараз переглядаєте новину "У поліції назвали мотиви хакерів, які влаштували кібератаку". Інші Новини України дивіться в блоці "Останні новини"

Джерело:

"Сегодня"

Якщо ви знайшли помилку в тексті, виділіть її мишкою і натисніть Ctrl + Enter

Загрузка...
Загрузка...