Эксперты предупредили, что атака «Плохого кролика» может быть отвлекающим маневром от основной кибератаки.
Кибератаки «Locky1024» и «BadRabbit» могут оказаться как новыми векторами хакерских атак, так и отвлечением внимания от продолжающейся «основной» кибератаки. Об этом сообщает пресс-служба Международной группы компаний ISSP — эксперта по безопасности информационных систем, передает Хроника.инфо с ссылкой на Страна.ua.
Эксперты ISSP Labs работают над анализом поступивших в лабораторию образцов Locky1024 и BadRabbit.
«В данный момент можно с уверенностью сказать, что образец Locky1024 не содержит функционала перезаписи MBR и не использует Mimikatz для получения паролей и не распространяется дальше по локальной сети, что означает, что этот вектор не аналогичен Petya/NotPetya как поспешно сообщали некоторые эксперты и компании по кибербезопасности. Данный вектор атаки может выступать прикрытием для другой, скрытой атаки, которая осталась незамеченной за всеобщим вниманием к шифровальщикам (такая же вероятность существует и по вектору BadRabbit).
Также еще раз обращаем внимание специалистов по кибербезопасности, что после Petya/NotPetya во многих организациях остались так называемые спящие агенты (Sleeper Agents), поэтому с высокой долей вероятности злоумышленники продолжают находиться и иметь доступ к инфраструктурам организаций, как пострадавших, так и формально не пострадавших от NotPetya. Ответить положительно или отрицательно на вопрос о фактическом присутствии злоумышленников внутри инфраструктуры возможно только в процессе проведения соответствующей профессиональной экспертизы», — указано в опубликованном сообщении.
Рекомендации ISSP:
— Не открывать подозрительные вложения в письмах от неизвестных адресатов,
— не переходить по подозрительным ссылкам (например “обновление flash-плеера”).
— Заблокировать доступ к указанным ссылкам (следите за обновлениями индикаторов компрометации на сайте ISSP или обратитесь к нам за оформлением подписки на индикаторы)
— Установить обновления Windows, которые устраняют уязвимость DDE в Microsoft Office (CVE-2017-11826).
-Не работать под правами администратора.
Дополнительные рекомендации для крупных организаций и предприятий критической инфраструктуры:
— незамедлительно провести экспертизу и на основании полученных результатов внедрить технологии постоянного мониторинга компьютерной инфраструктуры и активности пользователей с целью выявления и устранения атак на их ранних стадиях.
Напомним, что 24 октября в Украине были зафиксированы новые кибератаки, которые поразили целый ряд инфраструктурных объектов, в том числе Одесский аэропорт, банковские сервисы Киевского метро и другие. В данный момент пока нельзя однозначно утверждать, являются ли наблюдаемые векторы атак, один из которых получил предварительное название «Bad Rabbit», а второй эксперты ISSP Labs назвали Locky1024, самостоятельными новыми векторами, или же отвлечением внимания от продолжающейся «основной атаки», этап кульминации и зачистки по которой, получивший название Petya/NotPetya, наблюдался 27 июля 2017 года, и от которого пострадало большое количество компаний и государственных органов.
Читайте также: США предупреждают об опасности новых кибератак
Ранее в «Лаборатории Касперского» заявляли, что случайно скачали секретные данные спецслужб США. В 2014 году аналитики сообщили о скачивании данных про неких хакеров Equation Group, которые числились в секретных документах АНБ США.