27 июня – накануне Дня Конституции Украины – многие украинские компании подверглись масштабной кибератаке вируса-шифровальщика Petya.A. Однако в СБУ считают, что эта атака была не последней и предупреждают о возможных новых деструктивных действий со стороны злоумышленников. В связи с этим СБУ разработала рекомендации, которые призваны обезопасить украинские компании о возможных новых проблем.Отмечается, что во время анализа последствий и предпосылок этой предыдущей кибератаки было установлено, что ей предшествовал сбор данных о предприятиях Украины. Злоумышленники собирали сведения следующего характера: электронные почты, пароли к учетным записям, которые используются предприятиями и их сотрудниками, реквизиты доступа к командно-контрольным серверам и другая информация, которая отсутствует в открытом доступе. Эти сведения отправлялись на сервера злоумышленников.Специалисты СБУ предполагают, что именно эта информация и была целью первой волны кибератаки и может быть использована настоящими инициаторами как для проведения киберразведки, так и в целях дальнейших деструктивных акций.Причём, у злоумышленников, которые в результате проведенной кибератаки Petya.A несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированной учтенной записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны.В связи с этим, системным администраторам или уполномоченным лицам по информационной безопасности рекомендуется в кратчайшие сроки провести такие действия в приведенном порядке:осуществить обязательную смену пароля доступа пользователя krbtgt;осуществить обязательную смену паролей доступа ко всем без исключения учетным записям в подконтрольной доменной зоне ИТС (информационно-телекоммуникационной системы);осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС;на выявленных скомпрометированных компьютерах осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;повторно осуществить смену пароля доступа пользователя krbtgt;перезагрузить службы KDC.Рекомендуется в дальнейшем избегать сохранения в ИТС аутентификации данных в открытом виде (необходимо использовать для таких целей специализированное программное обеспечение).Источник: СБУ27 июня вирус-шифровальщик массированно атаковал компьютеры многих компаний Украины.
Вслед за Украиной вирус-вымогатель Petya.A распространился и на другие страны.
Киберполиция Украины назвала в качестве одного из виновников распространения вируса-шифровальщика Petya.A программное обеспечение «M.E.doc».
По данным ESET, главной жертвой вируса-шифровальщика Petya.A стала Украина, где зарегистрировано более 75% всех случаев заражения.
Несмотря на то, что вирус пытается сделать невозможным восстановление данных на накопителе после заражения, Киберполиция Украины приводит советы, как вернуть доступ к компьютеру после атаки Petya.A.
СБУ заявляет, что к кибератаке вирусом Petya.A на украинские компании и органы власти причастны спецслужбы России.
content: "";
Stfw.Ru