В СБУ ожидают новую волну кибератак на украинские компании
27 июня – накануне Дня Конституции Украины – многие украинские компании подверглись масштабной кибератаке вируса-шифровальщика Petya.A. Однако в СБУ считают, что эта атака была не последней и предупреждают о возможных новых деструктивных действий со стороны злоумышленников. В связи с этим СБУ разработала рекомендации, которые призваны обезопасить украинские компании о возможных новых проблем.
Отмечается, что во время анализа последствий и предпосылок этой предыдущей кибератаки было установлено, что ей предшествовал сбор данных о предприятиях Украины. Злоумышленники собирали сведения следующего характера: электронные почты, пароли к учетным записям, которые используются предприятиями и их сотрудниками, реквизиты доступа к командно-контрольным серверам и другая информация, которая отсутствует в открытом доступе. Эти сведения отправлялись на сервера злоумышленников.
Специалисты СБУ предполагают, что именно эта информация и была целью первой волны кибератаки и может быть использована настоящими инициаторами как для проведения киберразведки, так и в целях дальнейших деструктивных акций.
Читайте также: Гройсман пообещал упростить жизнь малому бизнесу
Причём, у злоумышленников, которые в результате проведенной кибератаки Petya.A несанкционированно получили административные сведения, появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор встроенного администратора (SID 500). Особенностью упомянутого TGT-билета является то, что в условиях отключения скомпрометированной учтенной записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны.
В связи с этим, системным администраторам или уполномоченным лицам по информационной безопасности рекомендуется в кратчайшие сроки провести такие действия в приведенном порядке:
• осуществить обязательную смену пароля доступа пользователя krbtgt;
• осуществить обязательную смену паролей доступа ко всем без исключения учетным записям в подконтрольной доменной зоне ИТС (информационно-телекоммуникационной системы);
• осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС;
• на выявленных скомпрометированных компьютерах осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;
• повторно осуществить смену пароля доступа пользователя krbtgt;
• перезагрузить службы KDC.
Рекомендуется в дальнейшем избегать сохранения в ИТС аутентификации данных в открытом виде (необходимо использовать для таких целей специализированное программное обеспечение).
Поближе к природе: как выглядит современное жилье среди живописных лесов (ФОТО)
Volkswagen опубликовал тизерное изображение своего самого маленького кроссовера (ФОТО)
Mercedes показал интерьер фургона Sprinter нового поколения
Специалисты нашли простой способ борьбы против нового вируса Petya.C (ФОТО)
