Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[SSSK0]

https://ssu.gov.ua/ua/news/1/category/2/vie...h.cI66BTlL.dpbs

Специалисты от СБУ в информационной безопасности... Уже смешно и грустно - понятно, что "если в кране нет воды - значит выпил лично Путин"

В Кропивницком на трое суток пропала вода. Любая. Будут давать по два часа в день.
Переименования... "Безвиз"... Реформы... Все это тупо и вдребезги разбивается об отсутствие элементарной услуги, которую взялось предоставлять государство за деньги людей, - но даже этого нормально не может сделать... В 21-м веке... Неужели никто так и не попробует: сначала - качественно то, за что люди платят немалые деньги, а уж потом - весь пафос... "...И, выходит, - без воды и ни туды, и ни сюды..." © Volodymyr Katsman


Сообщение отредактировал SSSK0 - Jul 2 2017, 16:13

[Dr.Sydorenko]

ESET: “Petya” Ransomware: What we know now
В конце есть интересная картинка:

[Lion_Killsberg]

про права юзера, мбр, порты, вланы и много чего другого забыл

Бесполезно...
Пока МС не пофиксит 2 дырени аля работостособность мимикатц
и передачу ЛП по локалке в открытом виде...
Нас ждут новые интерестные серии атак.

[public@]

Специалисты от СБУ в информационной безопасности... Уже смешно и грустно - понятно, что "если в кране нет воды - значит выпил лично Путин"

В Кропивницком на трое суток пропала вода. Любая. Будут давать по два часа в день.
Переименования... "Безвиз"... Реформы... Все это тупо и вдребезги разбивается об отсутствие элементарной услуги, которую взялось предоставлять государство за деньги людей, - но даже этого нормально не может сделать... В 21-м веке... Неужели никто так и не попробует: сначала - качественно то, за что люди платят немалые деньги, а уж потом - весь пафос... "...И, выходит, - без воды и ни туды, и ни сюды..." © Volodymyr Katsman

Ну а чего бы и нет!

РФ: компьютеры в Украине стали уязвимы после отказа от российского софта
РИА Новости Украина: http://rian.com.ua/russia/20170702/1025465113.html

Методов расшифровки нет! Явно не с целью наживы было!

[SSSK0]

Ну а чего бы и нет!

Ну а чего бы и ДА Просто так? А ведь есть толпа обиженных и расстроенных IT спецов, которые от низкой з/п вполне могли и "хакерством заняться

Президент компании "Интернет инвест" Александр Ольшанский считает, что, прежде всего вирус научил украинские компании хранить резервные копии. При этом эксперт не исключает проведения второй волны кибератаки.

— Нет, на самом деле действительно, непонятна до сих пор цель. Не понятна квалификация тех, кто сделал эту кибератаку, потому что некоторые ее части очень хорошо сделаны, а некоторые части, например, связанные как раз с вымогательством денег, они были сделаны не очень квалифицированно. Что может говорить о двух вещах. Либо люди не собирались получать деньги, и цель атаки вообще другая. То есть дестабилизировать ситуацию, например, или принести экономический ущерб. А другая возможность в том, что вирусом занимались очень хорошие профессионалы с технической точки зрения, но люди, которые не очень знают о том, как получить те деньги, которые они вымогали вследствие этой атаки.

http://rian.com.ua/view/20170702/1025466451.html

[fone]

Это была просто развлекательная атака с серезными последствиями,былоб не плого чтоб крупные компании подали на майкрософт .

[volucer]

Пока МС не пофиксит 2 дырени аля работостособность мимикатц
и передачу ЛП по локалке в открытом виде...
Нас ждут новые интерестные серии атак.

Ждать не стоит Дыра этерналблу 16 лет экспуатировалась анб. Во первых, дыреней на самом деле куда больше Например, запуск всякого говна типа мишы без прав админа и под уак (видос есть). Во-вторых, всегда был и есть юникс

Немного из своего опыта добавлю про УАК: в принципе никогда не блочил вирусы Вся его суть - мешать работе прикладным программам не от МС

прежде всего вирус научил украинские компании хранить резервные копии

И кому данные реально важны, тому резервные копии нужно хранить на изолированных носителях и в мощном экране или лучше в бункере . ЭМИ-оружие давно уже разработано и ждет применения
https://ru.wikipedia.org/wiki/Электромагнитная_бомба

Сообщение отредактировал volucer - Jul 2 2017, 18:05

[fone]

прежде всего вирус научил украинские компании хранить резервные копии

В бумажном виде

Сообщение отредактировал fone - Jul 2 2017, 18:00

[Lion_Killsberg]

Это была просто развлекательная атака с серезными последствиями, былоб не плого чтоб крупные компании подали на майкрософт .

Скорее это было бетта тестирование вирусного ПО и вполне успешное.
1. Распространение вируса через сервер обновления
2. Распространение по локальной сети
3. Шифрование данных и порча МБР
4. Касперу передали привет. ( If this malware finds running Kaspersky processes on the system, it writes junk to the first 10 sectors of the disk, and then reboots, bricking the machine completely. F-Secure

[fone]

что дальше Форматирование ос ,создание закрытой виндовс для корпоративного сигмента и исправление всех недочетов + закрытие новых уязвимостей по мере их расплстранения/возникновения.

[volucer]

Скорее это было бетта тестирование вирусного ПО и вполне успешное.

Я уверен в том, что где хотелось до упора юзался даблпульсар и софт от анб, через который сливались все пароли, данные и хз что еще. Ибо теоретически на хост жертвы можно загрузить любой софт по желанию. А петя с мишей просто замели следы

Сообщение отредактировал volucer - Jul 2 2017, 18:51

[SSSK0]

что дальше...

Можно хотя бы вот так... в общих чертах:

Таблица требований Defense-in-Depth

Уровень --- Технологии

Данных --- ACL/шифрование/классификация данных с RMS

Приложений --- SDL, антивирусы, «бронирование» приложений и сервисов, App/Device Guard

Хостов --- «Бронирование» ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS), VBS, Device Guard

LAN --- Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)

Периметр --- FW, контроль доступа, App FW, NAP

Физическая безопасность --- Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения

Люди, политики, процедуры --- Документирование, тренинги, предупреждения и уведомления

[Lion_Killsberg]

Можно хотя бы вот так... в общих чертах:
Таблица требований Defense-in-Depth
Уровень --- Технологии
Данных --- ACL/шифрование/классификация данных с RMS
Приложений --- SDL, антивирусы, «бронирование» приложений и сервисов, App/Device Guard
Хостов --- «Бронирование» ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS), VBS, Device Guard
LAN --- Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)
Периметр --- FW, контроль доступа, App FW, NAP
Физическая безопасность --- Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения
Люди, политики, процедуры --- Документирование, тренинги, предупреждения и уведомления

Эт уже параноя
4е вещи, которые, поломают это все:
1. Контроллер домена
2. Сетевые принтеры и сканеры
3. Физ комп с ОС у юзверя
4. Юзверь

[roleg]

сегодня подняли контроллер домена, файловое хранилище и бэкап сервер FTP на линуксе =)
меньше мелкософта - больше здорового сна )

[Lion_Killsberg]

сегодня подняли контроллер домена, файловое хранилище и бэкап сервер FTP на линуксе =)
меньше мелкософта - больше здорового сна )

Бекапы имеют явную квантовую сущность.
До тех пор, пока не ты не попытался восстановиться из бекапа,
он находится в суперпозиции. Он одновременно успешный и нет.

[SSSK0]

Эт уже параноя
4е вещи, которые, поломают это все:
1. Контроллер домена
2. Сетевые принтеры и сканеры
3. Физ комп с ОС у юзверя
4. Юзверь

Хм... паранойя - это если внедрять все это для частной конторы с десятком компов, а вот для, например, "Ощадбанка" - все эти меры просто обязательны Ну никак не должны были лечь банкоматы/сервера из-за обновления бух.проги в центральном офисе "Сегментирование и изоляция" для решения таких проблем.

[volucer]

Бекапы имеют явную квантовую сущность.
До тех пор, пока не ты не попытался восстановиться из бекапа,
он находится в суперпозиции. Он одновременно успешный и нет.

Не, не слышал Всегда успешные

[roleg]

Не, не слышал Всегда успешные

успешные когда не зашифрованы

[volucer]

успешные когда не зашифрованы

Или когда изолированы

Сообщение отредактировал volucer - Jul 2 2017, 19:38

[NumeroUno]

отвез в эту говноконтору директор с старой работы бук сони.
в итоге ни данных ни бук больше никто не видел, директор человек не конфликтный они ему лет пять по ушам ездили мол уже вот вот, потом начали морозится что данные извлекли но отдать могут только когда бук отремонтируют но в бук нового харда 1,8" нет у них, надо ждать, в общем по сей день ждут...

Напоминает фантастику. Отвезли в Епос ноут и они его прикарманили?
Раз 5 обращался в Епос по разным вопросам и всегда все решали в кратчайшие сроки.

Может и в этом случае восстановили, просто решили не выдавать клиенту данные ну и бук пригодился видимо
Причем по данной конторе это не единичный случай, может человеческий фактор...

Заявление в полицию хоть написали? Если все так как Вы пишите, то это уголовное дело!

Карманили бы они так в тупую технику, то 20 лет не были бы одними из лидеров на рынке, а сидели бы в тюрьме.

Сообщение отредактировал NumeroUno - Jul 2 2017, 20:11