Команда реагирования на компьютерные чрезвычайные события Украины CERT-UA Государственной службы специальной связи и защиты информации Украины сообщила о возможном начале новой волны кибератак на информационные ресурсы Украины 24.10.2017.
Были установлены единичные случаи поражения (Одесский аэропорт и Киевский метрополитен).
К владельцам информационно-телекоммуникационных систем, других информационных ресурсов, в первую очередь транспортной инфраструктуры, а также рядовым интернет-пользователям обращаются с просьбой соблюдать усиленные требования кибербезопасности.
В атаке 24.10.2017 на некоторые объекты инфраструктуры Украины использовалась техника DDE, которая активировала выполнение вредоносного кода на компьютере пользователя.
При этом Департамент киберполиции Национальной полиции Украины отмечает, что 24.10.2017 были зафиксированы атаки на некоторые украинские предприятия с использованием вируса-шифровальщика. Компьютеры пользователей, с операционной системой Windows, по одной из версий были поражены в результате открытия файлов электронных документов с расширением .doc та .rtf, которые отправлялись по каналам электронной почты от неустановленных отправителей.
После этого выполнялся встраиваемый в документы вредный алгоритм, по результатам которого загружался и выполнялся файл - тело вируса под названием «heropad64.exe».
После отработки указанного вируса диск компьютера зашифрован, на экране отображалось сообщение с требованием выкупа за расшифровку файлов и ссылкой на сайт в сети ТОR, где можно получить реквизиты для перевода средств в размере 0,05 ВТС.
Отметим, что указанная атака было не целенаправленной. От ее последствий пострадали не только украинские субъекты хозяйствования.
По предварительному анализу, эта атака также была проведена с использованием бот-сети Necurs. Для атаки хакеры использовали уязвимость DDE в Microsoft Office (CVE-2017-11826).
СБУ для предотвращения несанкционированной блокировки информационных систем просит соблюдать следующие рекомендации:
• обеспечить ежедневное обновление системного программного обеспечения, в т.ч. OS Windows всех без исключения версий, также обязательно установить обновление KB3213630 (для Windows 10);
• в настройках сетевой безопасности заблокировать доступ к домену x90DOTim, с которого загружается вредоносное программное обеспечение. Не открывать в браузере! DOT изменить на точку;
• не открывать вложения электронной почты, в т.ч. форматов .doc и .rtf, поступивших от непроверенного отправителя;
• обеспечить соблюдение общих правил информационной безопасности, в частности, создание резервных копий, своевременное обновление антивирусного и прикладного программного обеспечения.
