fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Команда CrowdStrike дослідила програму-вимагач PartyTicket, націлену на українські компанії

Реліз

23 лютого 2022 року було проведено низку руйнівних кібератак, спрямованих на українські організації. Згідно з галузевими звітами, в декількох організаціях, які безпосередньо постраждали від атаки, було виявлено Go-based програму-вимагач під назвою PartyTicket (або HermeticRansom). Разом з нею були ідентифіковані й інші сімейства шкідливих програм, включно з програмою типу Wiper, яку розвідка CrowdStrike відстежує як DriveSlayer (HermeticWiper).

Аналіз програми-вимагача PartyTicket показав, що вона реалізовує досить поверхневе шифрування файлів, неправильно ініціалізуючи ключ шифрування, що дає можливість дешифрувати зашифрований файл з відповідним розширенням .encryptedJB.


Технічний аналіз

Екземпляр програми-вимагача PartyTicket має хеш SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Було помічено, що він пов’язаний з іменами файлів cdir.exe, cname.exe, connh.exe та intpub.exe.

Екземпляр програми-вимагача, написаний за допомогою Go версії 1.10.1, містить багато символів, які посилаються на політичну систему США, включаючи voteFor403, C:/projects/403forBiden/wHiteHousE та primaryElectionProcess.

Програма-вимагач перебирає букви всіх дисків і рекурсивно перераховує файли на кожному диску та його підпапках, за винятком шляхів до файлів, які містять рядки Windows і Program Files, а також шлях до папки C:\Documents and Settings (остання папка була замінена у версіях Windows, Windows XP, на C:\Users). Для шифрування обираються файли з такими розширеннями:


acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip


Для кожного шляху до файлу, який проходить раніше описані перевірки, ransomware копіює власний екземпляр у той самий каталог, з якого він був запущений, і запускає його через командний рядок, передаючи шлях до файлу як аргумент. Батьківський процес ransomware присвоює імена своїм клонам за допомогою випадкового UUID, створеного загальнодоступною бібліотекою, яка використовує поточну мітку часу та MAC-адреси мережевих адаптерів зараженого хоста.

Розробник шкідливої програми намагався використовувати типи WaitGroup мови Go для реалізації багатопотоковості, але через ймовірну помилку в кодуванні програма створює велику кількість потоків (по одному на перерахований шлях до файлу) і копіює власний двійковий файл в поточний каталог стільки разів, скільки було вибрано файлів. Після завершення всіх потоків шифрування вихідний двійковий файл видаляє себе через командний рядок.

Коли екземпляр отримує шлях до файлу як аргумент, він шифрує його за допомогою AES в режимі Galois/Counter (GCM). Ключ AES генерується за допомогою функції Intn пакета Go rand для вибору зміщення в масиві символів 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, генеруючи 32-байтовий ключ. Через ймовірну помилку в кодуванні затравка для функції Intn оновилася після генерації ключа, тобто при кожному запуску бінарного файлу та його клонів генерується один і той же ключ AES. Усі файли, зашифровані на хості, шифруються тим самим ключем, і знання ключа відповідного екземпляра PartyTicket дозволяє розшифрувати їх. Сценарій, який використовує цей недолік для відновлення зашифрованих файлів, доступний у Git-репозиторії CrowdStrike.

Для кожного файлу ключ шифрування AES сам шифрується за допомогою RSA-OAEP використовуючи відкритий ключ RSA, який має такі параметри:

Modulus (N): 0xcbb94cb189a638b51e7cfe161cd92edb7145ecbd93989e78c94f8c15c61829286fd834d80c931daed4acaba14835fd3a6721602bcaa7193245fc6cf8e1d3261460ff3f1cbae3d44690beb989adee69ac486a932ee44dbdf0a44e772ab9822a16753cd08bdbb169f866f722114ee69c0cf1588fdaf8f7efd1c3ed243786078593f9b0cd867bab2b170c1843660d16e2181ae679137e2650551a41631398e027206e22a55858c741079ceafd50d5bd69546d4d52f5a33b0a576e1750d3f83afa1ce4403d768cbd670b443f61794b44705a8b1132c0c0ce77dbd04053ba20aec9baf23944270f10d16ad0727ed490c91c7f469278827c20a3e560f7c84015f7e1b
Exponent (E): 0x10001


Перед шифруванням програма-вимагач перейменовує файл у форматі <original file name>.[[email protected][.]com].encryptedJB ("JB", ймовірно, означає ініціали президента США Джозефа Байдена, враховуючи політичний зміст бінарного файлу). Потім програма-вимагач перезаписує вміст зашифрованими даними. PartyTicket шифрує лише перші 9437184 байта (9,44 МБ) файлу. Якщо розмір файлу, переданого як аргумент, більший за ліміт, всі дані, що перевищують обмеження, залишаються незашифрованими. Після шифрування вмісту файлу PartyTicket додає до кінця файлу ключ AES, зашифрований за допомогою RSA .

Перед початком шифрування програма пише викупну HTML-нотатку в каталог робочого столу користувача з назвою read_me.html (рисунок 1). Якщо це не навмисні помилки, граматичні конструкції в нотатці свідчать про те, що вона, ймовірно, не була написана або вичитана людиною, яка вільно володіє англійською.

Рисунок 1. Викупна записка


Аналіз

Спочатку аналітична служба CrowdStrike не приписувала діяльність програми PartyTicket конкретному зловмиснику.

Програма-вимагач містить помилки в реалізації, що робить її шифрування повільним та легко зламним. Цей недолік говорить про те, що автор шкідливої програми або не мав досвіду написання мовою Go, або доклав замало зусиль для її тестування, можливо через обмежений час розробки. Зокрема, PartyTicket не такий досконалий, як DriveSlayer, який реалізує низькорівневу схему аналізу NTFS. Відносна незрілість та політична спрямованість цієї програми-вимагача, час її розгортання та орієнтація на українські організації дозволяють припустити, що вона використовується як додаткове корисне навантаження до DriveSlayer, а не як стандартна програма-вимагач.


Сигнатури YARA

Для виявлення PartyTicket можна використати наступне правило YARA:


Сценарій для розшифровування файлів

Через вище описані помилки в генерації ключа AES, використовуваного PartyTicket в процесі шифрування, його можна розшифрувати. Наведений нижче скрипт Go розшифровує файли, зашифровані екземпляром PartyTicket 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Скрипт приймає файл для розшифровування як аргумент через flag "-p" і зберігає розшифрований результат у "decrypted.bin" у тому ж каталозі. Сценарій може бути створений у вигляді файлу, запущеного за допомогою пакета Go run; він був протестований за допомогою Go версії 1.16.6.


Дізнайтеся, як захистити свою організацію від сучасних кібератак за допомогою продуктів CrowdStrike.


iIT Distribution – офіційний дистриб'ютор рішень від CrowdStrike, які дозволяють компаніям використовувати передові технології в галузі побудови безперебійного захисту своїх IT-інфраструктур. Ми тісно співпрацюємо з нашими клієнтами, надаючи повний комплекс послуг із супроводу проєктів.


Назад

Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 3)

Новина

Компаніям вже зараз слід вживати активних заходів захисту, щоб не виявитися маріонеткою в руках російських кіберзловмисників.


Чим корисна інформація з двох попередніх статей нашої серії? Вона наочно демонструє: велика кількість організацій у всьому світі мають сервіси, що сприяють атакам на українську цифрову інфраструктуру. І хоча ці атаки не є навмисними, оскільки йдеться про цілком законні системи, які були перетворені на DDoS-зброю, ІТ-фахівцям вже зараз слід переглянути свої служби та вжити належних заходів впровадження безпеки, використовуючи всі свої інструменти захисту, а не тільки системи захисту від DDoS.


Кроки на шляху до розв'язання цієї проблеми можуть включати:

  • Вимкнення будь-яких другорядних служб, які можуть генерувати потенційні атаки.
  • Вивчення підозрілих потоків трафіку, що виходять з організації, навколо протоколів, які можуть бути використані в атаках відбиття/посилення, зокрема UDP-сервісів (наприклад, традиційних протоколів, таких як DNS, NTP тощо, та менш поширених протоколів, таких як ARD, CLDAP тощо).
  • Активізація наявних засобів контролю доступу на брандмауерах та мережевому обладнанні для запобігання використанню систем у якості зброї.
  • Перевірка того, чи всі системи виправлені та оновлені для боротьби з відомими CVE.
  • Вивчення рекомендацій з різноманітних джерел: CISA, інформація від виробників та інші ресурси, які здатні допомогти в питаннях безпеки. Слідкуйте за розвитком ситуації, а потім робіть відповідні кроки щодо забезпечення захисту своїх систем.
  • Перевірка працездатності відповідних процедур захисту на випадок кібератаки. Це особливо важливо в тих ситуаціях, коли DDoS-атаки використовуються в якості «димової завіси» для відволікання уваги від інших атак.


Спеціалізовані системи захисту від DDoS-атак також забезпечують підвищений рівень безпеки, дозволяючи використовувати такі методи боротьби, як формування дієвих великоформатних списків загроз, спираючись на різні бази даних про загрози; перевірка аномалій трафіку; пошук порушень базової лінії трафіку; використання штучного інтелекту (AI), машинного навчання (ML) та багато іншого.

Важливо зазначити, що організаціям слід використовувати всі доступні засоби спостереження та звітності для отримання повної картини стану мережі для запобігання вищезазначеним аномальним діям.


Поширення більш масштабних та інтенсивних DDoS-атак свідчить про те, що захисні заходи мають бути вжиті вже зараз

DDoS-атаки відбиття/посилення все ще лишаються швидкими, дешевими і простими у виконанні. Дані, наведені у звіті A10 DDoS Attack Mitigation: A Threat Intelligence Report, вказують на нову, найбільшу серед усіх зареєстрованих атаку, яка побила всі торішні рекорди (3,47 Тбіт/с і 340 мільйонів пакетів на секунду) і про яку компанія Microsoft повідомила в січні 2022 року. Це підкреслює серйозний розмах, який можуть набути ці скоординовані атаки. І також вказує на те, що атаки можуть стати значно масштабнішими в майбутньому. Компанія Microsoft вже захистила себе від них, маючи у своєму арсеналі всі засоби як для виявлення, так і для пом'якшення їх наслідків.

Непідготовлені до атак організації своєю чергою найчастіше потрапляють у заголовки газет або сприяють поширенню загрози серед багатьох інших систем. Збільшення кількості офіційних публічних повідомлень та широкого висвітлення проблеми призводить до підвищення інформованості про кіберзагрози та допомагає спільнотам ІТ-фахівців покращити процес планування кроків пом'якшення цих загроз та обмеження збоїв. Як приклад можна навести DDoS-атаки Mirai у 2016 році, які добряче струснули ряд організацій, змусивши їх посилити свій кіберзахист. Це спричинило появу деяких нових успішних механізмів пом'якшення наслідків атак, які ми спостерігаємо сьогодні.


Висновок: будьте в числі всебічно підготовлених до потенційних атак компаній

Виконуючи вищезгадані кроки щодо забезпечення захисту систем, організації можуть бути впевненими в тому, що вони не стануть руйнівною маріонеткою в руках російських злочинних суб'єктів, які прагнуть порушити роботу інтернет-сервісів та іншої критично важливої інфраструктури в Україні. Згідно з дослідженнями A10 Networks, певні типи організацій та регіони стали реальною мішенню для російських атак. У зв'язку з мінливим ландшафтом загроз, організаціям у чутливих секторах по всьому світу, будь це урядові, військові чи критично важливі комерційні інфраструктури, рекомендується переглянути свої служби, щоб не стати посередником зловмисної діяльності.


iIT Distribution – офіційний дистриб'ютор передових рішень від A10 Networks на територіях України, Грузії, Казахстану та Узбекистану. Ми вдячні компанії А10 за трансляцію антизагарбницької позиції шляхом впровадження заходів щодо придушення російських атак на українські системи!

Зі свого боку iITD і надалі допомагатиме своїм партнерам у підборі та впровадженні продуктів захисту цього вендора.

Назад

CrowdStrike Falcon захищає від нового шкідливого ПЗ типу Wiper, що використовується в кібератаках проти України

Новина

CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.


23 лютого 2022 року стало відомо про появу нової шкідливої wiper-програми, яка вразила українські системи. Після серії атак типу "denial-of-service" та зламу низки українських вебсайтів нова шкідлива програма порушила роботу головного завантажувального запису (MBR), а також розділів та файлової системи всіх доступних фізичних дисків на машинах Windows.

Розвідка CrowdStrike дала назву цьому новому руйнівному ПЗ — DriveSlayer, і це вже друга програма типу Wiper, яка вразила Україну у розрізі недавніх атак з використанням шкідливої програми WhisperGate. DriveSlayer має цифровий підпис із використанням чинного сертифіката. Це програмне забезпечення зловживає легітимним драйвером EaseUS Partition Master для отримання доступу до диска та управління ним з метою приведення системи в непрацездатний стан.


Платформа CrowdStrike Falcon здатна забезпечити надійний та безперервний захист від DriveSlayer та загроз типу wiper, надаючи можливість відстежувати робочі навантаження в реальному часі для захисту клієнтів.

Перевірте ефективність рішення від CrowdStrike особисто, надіславши нам запит на тестування високоефективної платформи Falcon.


Технічний аналіз

На відміну від WhisperGate, який використовує високорівневі запити API, DriveSlayer використовує безпосередній доступ до диска для знищення даних.

При ініціалізації два додаткові параметри командного рядка можуть бути використані для вказівки часу сну шкідливої програми перед початком процесу знищення та перезавантаженням системи. Якщо вони не вказані, то за замовчуванням буде встановлено значення 20 і 35 хвилин.

Далі шкідлива програма переконується в тому, що вона має відповідні привілеї для виконання своїх руйнівних дій. Вона використовує API AdjustTokenPrivileges для присвоєння наступних привілеїв: SeShutdownPrivilege, SeBackupPrivilege і SeLoadDriverPrivilege.

Назва привілею Опис
SeShutdownPrivilege Забезпечує можливість вимкнення локальної системи
SeBackupPrivilege Забезпечує можливість виконання операцій системного резервного копіювання
SeLoadDriverPrivilege Забезпечує можливість завантаження чи вивантаження драйверів пристрою


Різноманітні драйвери будуть завантажуватися залежно від версії системи. Шкідлива програма використовує IsWow64Process для визначення версії завантажуваного драйвера. Ці драйвери зберігаються в секції ресурсів двійкового файлу та стискаються за допомогою алгоритму Lempel-Ziv. Файл драйвера записується в system32\drivers з 4-символьним, псевдовипадково згенерованим ім’ям. Після чого, цей файл розпаковується за допомогою LZCopy в новий файл з розширенням ".sys".

Приклад назви файлу Опис
C:\Windows\System32\drivers\bpdr Драйвер, стиснутий за допомогою алгоритму Лемпеля- Зіва
C:\Windows\System32\drivers\bpdr.sys Декомпресований драйвер


Перед завантаженням драйвера шкідлива програма відключає аварійний дамп, встановлюючи наступний ключ реєстру:

Реєстр Значення Опис
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Вимикає аварійний дамп

Для завантаження драйвера створюється нова служба за допомогою API CreateServiceW. Назвою та іменем, що відображається для цієї служби, є 4-символьне значення, яке використовується для імені файлу. Потім StartServiceW циклічно запускається п'ять разів, щоб переконатися, що драйвер завантажено. Відразу після завантаження драйвера служба знищується шляхом видалення всього ключа реєстру.

Після завершення завантаження драйвера служба VSS вимикається за допомогою диспетчера служб керування. Потім утворюється кілька додаткових потоків. Один із потоків створюється з метою обробки перезавантаження системи. Він перебуватиме в режимі сну протягом часу, вказаного параметром командного рядка, що дорівнює 35 хвилин, після чого система буде перезавантажена викликом API InitializeSystemShutdownExW.

Інший потік вимикає функції інтерфейсу користувача, які можуть попередити користувача про підозрілі активності, що відбувається в системі, перед ітерацією підключених дисків.

Реєстр Значення Опис
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowCompColor
0 Відключення кольорів для стиснених та зашифрованих файлів NTFS
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowInfoTip
0 Відключення спливаючих сповіщень про папки та елементи робочого столу


Нарешті, шкідлива програма починає свою руйнівну роботу, породжуючи безліч додаткових потоків, які перезаписують файли на диску та знищують таблиці розділів. Після перезавантаження системи користувач побачить порожній екран із написом "Операційна система відсутня".


Безперервний моніторинг і видимість платформи Falcon зупиняють руйнівний вплив DriveSlayer

Платформа Falcon використовує багаторівневий підхід захисту робочих навантажень. Використовуючи on-sensor та cloud-based машинне навчання, behavior-based виявлення з використанням індикаторів атак (IOA) та розвіддані про тактики, методи та процедури (TTP), що застосовуються суб'єктами загроз, платформа Falcon забезпечує видимість, виявлення та безперервний моніторинг для будь-якого середовища, скорочуючи час на пошук та усунення загроз.

Як проілюстровано на рисунку 1, Falcon використовує хмарне машинне навчання для виявлення DriveSlayer і запобігання виконання програмою шкідливих дій, таких як завантаження додаткових компонентів.


Рисунок 1. Хмарне машинне навчання платформи Falcon виявляє DriveSlayer wiper


IOA платформи Falcon, засновані на поведінкових факторах, можуть виявляти та запобігати виконанню підозрілих процесів або завантаженню додаткових компонентів, а також інші види шкідливої поведінки. Наприклад, Falcon здатний визначити таку поведінку DriveSlayer, як втручання у певні ключі реєстру. Behavior-based виявлення додатково накладається традиційне виявлення хешів на основі індикаторів компрометації (IOC) (див. рисунок 2).


Рисунок 2. CrowdStrike Falcon виявляє та запобігає деструктивній діяльності DriveSlayer


DriveSlayer не має вбудованих технологій розповсюдження по інфраструктурах, а відомості про його використання в атаках на українські системи поки що обмежені. Компанія CrowdStrike і надалі стежитиме за ситуацією та повідомлятиме про те, що відбувається.

Клієнти CrowdStrike Falcon можуть здійснювати проактивний моніторинг своїх середовищ за допомогою hunting-запитів для виявлення індикаторів присутності DriveSlayer. Ознайомтеся з коротким описом DriveSlayer та способами його пошуку на порталі підтримки CrowdStrike.

iIT Distribution як офіційний дистриб'ютор рішень компанії CrowdStrike наполегливо рекомендує організаціям, що стикаються з ризиками кіберінцидентів, вжити заходів щодо підвищення своєї операційної стійкості. Рішення безпеки від CrowdStrike здатні захистити від шкідливого ПЗ та загрози знищення даних, забезпечуючи повну видимість середовища та інтелектуальний моніторинг хмарних ресурсів з метою виявлення та реагування на потенційні загрози – у тому числі руйнівні – та обмеження можливої шкоди від них.

Назад

Як не стати «мимовільним спільником» російських кібератак на українські системи (частина 2)

Новина

Дослідницька security-група A10 Networks активно відстежує атаки на українські системи.


У попередній статті цієї серії ми розглянули розвіддані від компанії А10, що дають змогу осягнути характер фінансованих російським урядом, свіжих кіберзлочинів, спрямованих на українські цілі. Масовий сплеск атак на українські державні системи припав на перший же день російсько-української війни.


Пригадаємо дві основні цілі, на які була спрямована російська скоординована DDoS-атака відбиття/посилення (DDoS Amplification and Reflection Attacks):

  • ПП "Інфосервіс-Лінк" з понад двома мільйонами запитів на Apple Remote Desktop (ARD). Ця ціль належить до блоку IP-адрес 194.79.8.0, підв'язаних своєю геолокацією до одного з найбільших міст України – Харкова. Водночас інформація whois ідентифікує її як Сєвєродонецьк, Луганська область, Україна, Луганськ.
  • Секретаріат Кабінету Міністрів України – понад 600 000 запитів до Network Time Protocol (NTP).


Вивчаючи ці атаки, бачимо, що вони були схожими між собою, але не ідентичними. Наприклад, друга атака була спрямована на запит до протоколу мережевого часу (NTP) для здійснення DDoS-атаки посилення та відбиття на UDP-порту 123, що є досить поширеним явищем, тоді як перша атака мала в собі запити до менш поширеного протоколу Apple Remote Desktop (ARD) на UDP-порту 3,283.


Рисунок 1: Протоколи, спрямовані на українські зареєстровані ASN за протоколом UDP 24 лютого 2022 року на єдиний honeypot. Відповідно, ARD, NTP і CLDAP є найбільш запитуваними. Протягом наступних шести днів NTP став найбільшим протоколом, що спостерігається на цьому ж honeypot після сплеску активності під час першого дня війни


Оскільки йдеться про порти UDP, вони не мають з'єднання (на відміну від TCP, орієнтованого на з'єднання), що дозволяє підмінити адресу джерела, маскуючи запитувача і, водночас, відображаючи відповідь призначеній жертві, що отримує велике, посилене корисне навантаження. Саме тому зловмисники надають перевагу техніці посилення та відбиття.


ARD, наприклад, може мати коефіцієнт посилення, що у 34 рази перевищує вихідний запит. Для атаки ARD на першу ціль, за оцінками A10 Networks, більшість пакетів, на які надходив запит, були розміром 370 байт (70%). Однак, враховуючи велику кількість пакетів розміром 1014 байт (23%), ми можемо вирахувати середнє значення ~500 байт. Якщо помножити 500 байт на 2099092 запита, то вийде 1049546000 байт, або трохи більше 1 гігабайта, і всі вони були запрошені з однієї машини.


У звіті "A10 DDoS Attack Mitigation: A Threat Intelligence Report", жоден з цих протоколів не входить до п'ятірки лідерів. Згідно з дослідженнями, існує 30622 одиниць потенційної DDoS-зброї для ARD, які відстежуються компанією A10. Використання лише 10 відсотків їх теоретично може згенерувати 3,2 терабайта трафіку, а використання 50 відсотків - 16 терабайт.

Рисунок 2: Топ-10 локалізацій ARD UDP потенційної DDoS-зброї, яку відстежує A10 (за країнами та загалом)


Порівнюючи протокол ARD, ідентифікований проти першої мети кібератаки, бачимо, що існує 30 622 одиниць зброї, відстежуваної A10, 18 290 (59%) з якої перебуває в США. І хоча така зброя не є рідкістю, це наочно ілюструє, що ІТ-підрозділи за межами країн, що воюють, можуть бути активно залучені до кіберконфліктів. Якщо вжити відповідних заходів, ці підрозділи можуть безпосередньо допомогти мінімізувати збитки, завдані Україні. Аналізований нами honeypot базувався у США.


Як зазначено вище, два приклади атак, здійснених 24 лютого, були надзвичайно масштабними. Однак, спостерігається постійне зростання кількості більш дрібних атак на українські цілі з використанням різних протоколів UDP. Поєднання цих протоколів змінювалося з часом. Першого дня домінував ARD, а наступні шість днів - NTP. Спираючись на ці факти, власникам необхідно регулярно стежити за тим, щоб їх системи не допомагали російським зловмисникам здійснювати кібератаки та іншу дистабілізуючу незаконну діяльність, спрямовану на українські цілі.


Дізнайтеся більше про компанію А10 Networks та її високоефективні рішення,

Далі буде. Слідкуйте за оновленнями, щоб не пропустити третьої частини серії статей від iIT Distribution та A10 Networks!

Назад

Дослідження security-групи A10 Networks: як не стати «мимовільним спільником» російських кібератак на українські системи

Новина

Дослідницька security-група A10 Networks активно відстежує атаки на українські системи.

Компанія A10 Networks – один із тих вендорів, який активно підтримує Україну в критичний для неї час, усіма шляхами засуджуючи нелюдські злочини Росії проти української нації. У зв'язку з російсько-українською війною, яка шокує масштабами свого кровопролиття, російські терористи приділяють особливу увагу не лише територіальним наступам, а й дистабілізуючими кібератакам на українські системи, спонсоровані російською державою. Необхідно вживати негайних заходів щодо припинення цієї руйнівної діяльності, а також ліквідації потенційних шкідливих наслідків для інших країн. Потрібно діяти вже зараз. З цієї серії статей дізнайтеся про особливості та деталі нових кібератак, виявлених дослідницькою security-групою компанії A10 Networks. Вкрай важливо з’ясувати, які дії варто вжити задля пом'якшення наслідків російських кібератак і як саме переконатися в тому, що ви не є «мимовільним спільником» агресора.


Звіти та рекомендації

Спонсоровані державою атаки важко назвати новим явищем. Світ бачив випадки, в яких низка великих підприємств із таких галузей, як банківська справа, охорона здоров'я та державні структури, піддавалися масштабним DDoS-атакам, потрапляючи на перші шпальта газет. Але що стосується нинішнього кіберконфлікту, він ведеться відразу по кількох напрямках. Свіжі звіти A10 Networks містили інформацію про шкідливі ПЗ, DDoS-атаки та пошкодження українських веб-сайтів. Керівництво Агентства з кібербезпеки та захисту інфраструктури (CISA), що входить до складу Міністерства внутрішньої безпеки США, попереджає про нову загрозу:

"Вірогідні подальші підривні кібератаки проти українських компаній, які можуть запросто торкнутися й організацій з інших країн. Компаніям слід підвищити свою пильність та переоцінити свої функціональні можливості, що включають планування, підготовку, виявлення та реагування на подібні загрози".


Сьогодні ми можемо спостерігати результати тривалої підготовки до теперішнього кіберконфлікту. Наприклад, у 2020 році стало відомо, що російська ФСБ прагне створити потужний ботнет IoT. Ми також бачили повідомлення про шкідливі програми з численними варіаціями, такі як Wiper, що завдають шкоди шляхом видалення конфіденційних даних з цільових комп'ютерних систем. Крім того, DDoS-атаки, які спонсоруються державою, спрямовані на урядові, банківські та освітні послуги, тобто на організації, які обслуговують звичайних людей. Варто зазначити і про контратаки з боку хактивістів. Наприклад, групою Anonymous було зламано відомі російські сайти з ціллю розміщення антивоєнних повідомлень. Це наочно демонструє той факт, що як наступальні, так і оборонні заходи проти російських зловмисників активно вживаються та мають відчутний успіх.


DDoS-атаки відбиття/посилення (DDoS Amplification and Reflection Attacks) були й залишаються націленими на Україну

Системи дослідницької security-групи A10 фіксували потужні та тривалі атаки на українські державні мережі та, як наслідок, на комерційні інтернет-ресурси. Масовий сплеск атак припав на перший день воєнного конфлікту.

Вивчаючи один із досліджуваних honeypots і зосередившись на сплеску порушень першого дня, спеціалісти А10 побачили, що хакери намагаються залучити легітимні системи до скоординованої DDoS-атаки відбиття/посилення. Спроба захопити вузол honeypot була зроблена через кілька годин після початку перших територіальних нападів на Україну 24 лютого. Беручи до уваги відповіді на запити систем, що стосуються українських мішеней, можна виділити дві основні цілі:


1) ПП "Інфосервіс-Лінк" з понад двома мільйонами запитів на Apple Remote Desktop (ARD).

2) Секретаріат Кабінету Міністрів України – понад 600 000 запитів до Network Time Protocol (NTP).


Перша ціль спочатку може здатися трохи незрозумілою через свою назву. При отриманні поглибленої інформації про ПП «Інфосервіс-Лінк» ми бачимо, що вона належить блоку IP-адрес 194.79.8.0. Перевіряючи, куди вона була підв'язана, ми бачимо в одному з джерел геолокацію до одного з найбільших міст України - Харкова, водночас інформація whois ідентифікує її як Сєвєродонецьк, Луганська область, Україна, Луганськ. Флуд на блок, хоч і не на конкретний хост, все ж таки створює DDoS-атаку, з якою мережеве обладнання в принципі має впоратися, якщо воно не ослаблене. Таким чином, можна зробити висновок, що мета атаки - завдати шкоди безлічі додатків, серверів та основній інфраструктурі, що обслуговується цим блоком та обладнанням.


Друга ціль - урядовий департамент - виглядає як очевидне джерело можливостей для зловмисників:

"Основним завданням Секретаріату є організаційне, експертно-аналітичне, правове, інформаційне, матеріально-технічне забезпечення діяльності Кабінету Міністрів України, урядових комітетів Прем'єр-міністра України, першого віце-прем'єр-міністра, віце-прем'єр-міністрів, міністра Кабінету Міністрів України", - Wikipedia.


Рисунок 1: Інформація про місцерозташування з пошуку ipinfo.io


Рисунок 2: 645 248 спроб amplification-запиту до одного honeypot за 15 хвилин


Далі буде. Слідкуйте за оновленнями!

Компанія iIT Distribution є офіційнім дистриб'ютором продуктів від A10 Networks на територіях України, Казахстану, Грузії та Узбекистану. Ми щиро вдячні А10 за активну трансляцію антизагарбницької позиції шляхом впровадження заходів по придушенню російських атак на українські системи! Зі свого боку iITD і надалі допомагатиме своїм клієнтам у підборі та впровадження найефективнішіх кіберрішень цього вендора.

Назад

Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate

Статті та огляди

Вочевидь, усі ми пам’ятаємо, як з 13 по 14 січня 2022 року низка державних органів України зазнала потужної кібератаки, у результаті якої постраждало 70 національних сайтів (10 з них зазнали безпосереднього втручання в бази даних). Як стало відомо незабаром після інциденту, він був викликаний системою вірусів WhisperGate набором шкідливих програм, діяльність яких спрямована на знищення даних на уражених ресурсах.


Якщо ви зволікали з цим раніше, саме час спрямувати свої сили на підбір по-справжньому ефективного рішення для детектування ризиків та захисту ваших систем. Просто зараз перегляньте відео, яке демонструє потужні можливості CrowdStrike Falcon у покроковому виявленні WhisperGate.


CrowdStrike Falcon — хмарне рішення, яке захищає кінцеві точки шляхом об'єднання антивірусу нового покоління, системи EDR (виявлення і реагування на загрози кінцевих точок) і цілодобової керованої служби пошуку загроз.

Falcon базується на штучному інтелекті (AI) і об'єднує технології, інтелект та досвід в одне просте рішення, яке надійно зупиняє будь-які загрози. Платформа за лічені хвилини забезпечує захист у реальному часі, а ефективні алгоритми штучного інтелекту дозволяють побачити результат вже з першого дня використання. Хмарна інфраструктура та архітектура усувають складність у роботі з різними додатками, забезпечують керованість та швидкість рішення.

Відкрийте для себе рішення від CrowdStrike.


Впевніться в тому, що Falcon не залишить зловмисникам жодного шансу на непомітне проникнення в вашу IT-інфраструктуру та знищення ваших даних в нашому відео.

Якщо ви обізнані – ви озброєні, підвищуйте рівень своєї кіберстійкості та знищуйте такі потужні загрози, як WhisperGate разом з CrowdStrike!

ПЕРЕГЛЯНУТИ ВІДЕО

Назад

Знайомство з процесами Security Operations Center (SOC) та найкращі рекомендації для його ефективної роботи від Lepide

Новина

Security Operations Center (SOC) — це підрозділ організації, роль якого полягає у постійному моніторингу, аналізі та вдосконаленні системи безпеки компанії. Як правило, SOC працює цілодобово, забезпечуючи захист секретних даних та дотримання відповідних норм конфіденційності.

SOC також розслідує, усуває та повідомляє про інциденти. У ході цього передбачається тісна взаємодія з групою реагування на інциденти (Incident Response Team — якщо така існує в компанії) для забезпечення оперативного та ефективного усунення ситуацій, що загрожують безпеці.


SOC зазвичай не бере участь у розробці політик та процедур, а займається моніторингом всіх сегментів мережі компанії на предмет аномальної активності, включаючи сервери, кінцеві точки, бази даних, програми та будь-яке інше мережеве обладнання/програмне забезпечення.

Додаткові види діяльності, які охоплює SOC, включають зворотну розробку шкідливого програмного забезпечення (reverse engineering malware), використання методів криптоаналізу для виявлення слабких місць у криптографічних системах організації, а також проведення розширених криміналістичних розслідувань попередніх інцидентів безпеки.

Як Security Operations Center працює

Робота SOC зазвичай починається із зустрічей з представниками різноманітних відділів та керівниками з метою збору інформації про поточний стан мережі організації.

Ці зустрічі передбачають питання про будь-які проблеми безпеки та відомі вразливості, а також про превентивні заходи, які вживаються для їх усунення.

SOC також встановлюють, яка саме інфраструктура безпеки вже була розгорнута в організації, щоб визначити, чи потрібна додаткова. Оскільки однією з ключових функцій SOC є аналіз журналів подій, команді необхідно переконатися, чи зможе вона узагальнювати дані з брандмауерів, IPS/IDS, UBA, DLP і SIEM-рішень.

Команда SOC також повинна мати можливість здійснювати збір інформації за допомогою передачі даних, телеметрії, інспекції пакетів даних (deep packet inspection), служби syslog та інших методів, щоб отримати всебічне уявлення про всю мережеву активність.

Ролі в Security Operations Center

Представники Security Operations Center зазвичай розділені на п'ять ролей: менеджер, аналітик, дослідник, респондент і аудитор. Однак слід зазначити, що в залежності від розміру організації деякі члени SOC можуть виконувати кілька ролей.

  • Менеджер: Роль менеджера полягає у контролі всіх областей мережевої безпеки та у тому, щоб у разі потреби бути здатним взяти на себе будь-яку роль.
  • Аналітик: Аналітик збиратиме, зіставлятиме (корелюватиме) та відстежуватиме журнали подій, створювані всіма мережевими програмами.
  • Дослідник: Роль дослідника полягає у проведенні криміналістичного аналізу після інциденту безпеки з метою з'ясування того, що сталося і з якої причини.
  • Респондент: Респондент відповідає за організоване реагування на інциденти безпеки. Це може бути звернення до відповідних зацікавлених сторін, повідомлення уповноважених органів влади та, можливо, навіть спілкування з пресою.
  • Аудитор: Аудитор зобов'язаний здійснювати аудит усіх систем безпеки, щоб переконатися, що вони функціонують належним чином і здатні відповідати необхідним вимогам.

Рекомендації для ефективної роботи SOC

Слід зазначити, що традиційні рішення для захисту периметра, такі як AV-програми, брандмауери та системи запобігання вторгненням, стають все менш актуальними. Багато в чому це пов'язано з тим, що ІТ-середовища стають більш розподіленими.

Дедалі більше співробітників працюють удома, використовуючи власні пристрої, і дедалі більше організацій переходять на хмарні послуги. Таким чином, вони все частіше керуються підходом, орієнтованим на дані. Його суть полягає у відстеженні того, як користувачі взаємодіють із конфіденційною інформацією.

Представники SOC завжди мають бути в курсі останніх відомостей про загрози. Це реалізується за допомогою збору інформації з новинних ресурсів та звітів. Вони повинні забезпечити своєчасне виправлення/оновлення всіх систем, а також отримання оновлень сигнатур та сповіщень про вразливості. SOC повинен автоматизувати якомога більшу кількість процесів, щоб спростити роботу служби безпеки та виключити можливість false positives (хибного спрацьовування).


Якщо ви хочете дізнатися, як Lepide може допомогти вашій команді SOC стати більш ефективною завдяки використанню платформи Lepide Data Security Platform, ознайомтеся ближче з цим рішенням за посиланням.


iIT Distribution пропонує різноманітність рішень для кібербезпеки, які допоможуть компаніям здійснювати всебічний захист та підвищувати ефективність своїх ІТ-інфраструктур. Ми тісно співпрацюємо зі своїми клієнтами та партнерами для того, щоб надати повну підтримку у проєктуванні та реалізації замовлених рішень.

Назад

7 IT-тенденцій 2022 року, які слід взяти на озброєння

Новина

2021 — ще один бурхливий рік, під час якого світ показав нам: якщо в чомусь можна бути впевненими, так це в тому, що все навколо не є статичним. За останні кілька років ми стали свідками масштабної цифровізації підприємств — тепер абсолютно кожна компанія має бути в онлайні скрізь і завжди, інакше вона просто не зможе стати прибутковою. Тому сьогоднішні ставки високі як ніколи: перебої у роботі систем можуть призвести до загрози успіху компанії або навіть краху бізнесу.


Більшість підприємств усвідомили цей ризик, внаслідок чого ІТ-команди займають значне місце за столом переговорів, коли йдеться про довгострокову стратегію та успіх бізнесу.


Але як ІТ-командам найкраще планувати свою роботу за таких нестійких часів? Попри те, що наступний рік, напевно, підкине кілька поворотних подій, є деякі тенденції, на які можна впевнено зробити ставку в 2022 році. Пристібайте ремені безпеки та відкривайте для себе ТОП-7 технологічних прогнозів від команди Automox.


1. "Великий розкол": Місце роботи сильно впливає не тільки на культуру компанії, а й на успіх бізнесу

Неможливо ігнорувати розмови про віддалену/гібридну/розподілену роботу, оскільки вони стосуються кожного з нас. У 2022 році ми спостерігатимемо проведення чіткої лінії, що ознаменує поділ команд на два табори.

Перший табір – прихильники моделі гібридної роботи, в якій компанії дозволяють співробітникам працювати поза офісом два-три дні на тиждень.

«У цій моделі співробітникам пропонується взяти офіс і свої робочі години додому. Ви, як і раніше, їздите на роботу, займаєте офісне приміщення, відвідуєте офіс, коли ваша дитина хвора. Крім того, кожна зустріч кишить нерівноправним спілкуванням між віртуальними та очними учасниками, які змінюються щодня», – говорить генеральний директор Automox Джей Прасл.

Другий табір — прихильники розподіленої роботи, під час якої компанії повністю ліквідують свої офісні приміщення та дозволяють працівникам працювати там, де вони забажають.

«Це чинить тиск на методи співпраці, комунікації та адаптації персоналу, але при цьому дозволяє компаніям працювати з кращими співробітниками, де б вони географічно не знаходилися. Штаб-квартири зникають, ставлячи кожного працівника в рівні умови. Підприємства можуть вільно інвестувати в спеціальні збори, які об'єднують людей/команди для побудови цінних відносин, що забезпечують розквіт бізнесу», — зазначає Джей.


2. Захист продуктивності лягає на плечі ІТ-відділу

До появи COVID-19 компанії досить скептично ставилися до дистанційної роботи. Чи може персонал бути продуктивним віддалено від офісу? Чи можемо ми довіряти своїм співробітникам у тому, що вони опрацьовуватимуть встановлену кількість годин?

Останні два роки не залишили іншого вибору, окрім як експериментувати. З другого кварталу 2020 року до другого кварталу 2021 року продуктивність праці зросла на 1,8 відсотка в порівнянні із середньорічним зростанням на 1,4 відсотка з 2005 по 2019 рік.

Наразі дискусія повністю переорієнтувалася з розгляду моделі повного робочого дня в офісі на перехід до віддаленої та гібридної моделі.

«У цьому контексті проблема з ноутбуком зводить вашу продуктивність нанівець. Ви більше не можете здати пристрій в ІТ-відділ, отримати його у тимчасове користування або просто піти на зустріч без нього. Що ми можемо зробити, щоб ці девайси були безпечними, актуальними, використовувалися ефективно та оновлювалися проактивно? Це саме те питання, на яке нам усім необхідно знайти відповідь», говорить Паскаль Боргіно, VP of Engineering & Architect.


3. Відповідність вимогам не дорівнює безпеці... Хоча сьогодні частково й дорівнює.

Заведено казати, що відповідність вимогам не дорівнює безпеці, проте за правильного підходу прийняття таких стандартів, як NIST і CIS, або отримання сертифікатів, таких як SOC або ISO, дає кожній організації міцний фундамент безпеки, на якому можна будувати свою роботу. Зрештою, вимоги відповідності зазвичай є хорошим стимулом для впровадження практик, які забезпечать вам кращу безпеку у разі атаки.

«За останній рік, після таких атак, як Solarwinds, Colonial Pipeline та Kaseya, ми стали свідками різкого підвищення уваги до Supply Chain та Third Party Risks (TPRM). У наступному році ми побачимо розширення тенденцій прийняття норм відповідності як стандарт ведення бізнесу, а разом із цим і гостру потребу в автоматизації, усуненні наслідків та звітності», — каже Кріс Хасс, директор з безпеки.


4. Нестача ІТ-фахівців – вигода для MSP (Managed service provider)

У міру того як все більше організацій (як нових, так і нецифрових) розвиватимуть свою цифрову присутність, ми станемо свідками масової нестачі IТ-фахівців у всьому світі. ІТ-команди й без цього розосереджені, а безперервний перехід до цифрових технологій призведе до високої конкуренції під час найму та різкого зростання постачальників керованих послуг (MSP).

«MSP вже давно є "інструментом" управління ІТ-інфраструктурою для організацій, і 2022 рік - не виняток. Великим зрушенням стане збільшення кількості середніх комерційних підприємств, які почнуть використовувати MSP як доповнення до своїх наявних ІТ-груп. Крім того, команди будуть частіше, ніж будь-коли, використовувати переваги автоматизації як способу впоратися з ситуацією в короткостроковій перспективі, у той час, як у довгостроковій перспективі відбудеться перехід на новий спосіб реалізації ІТ-операцій», — говорить Джей Гудман, Director of Product Marketing.


5. Попрощайтеся зі "збором" даних

Дані є наріжним каменем ІТ-аналітики, і компаніям необхідно приймати рішення швидше.

«Ми більше не можемо дозволити собі витрачати цикли збору даних, щоб відповісти на питання бізнесу. Відповідь має приходити протягом декількох хвилин, а це означає, що дані вже мають бути готові до обробки», — зазначає Паскаль.

Тож на які ж бізнес-питання керівники повинні мати легкодоступні відповіді у своїх руках?

  • Наскільки мій бізнес відповідає вимогам?
  • Чи моє підприємство в зоні ризику? Чи легко воно піддається ризикам?
  • Чи присутні неефективні процеси?
  • Чи впливають треті особи на продуктивність моїх працівників?
  • На що я не звертаю уваги?
  • Чи адаптована моя ІТ-стратегія до сучасних бізнес-потреб?


6. ITOps починають наздоганяти SecOps

На початку 2020 року ми бачили, як команди SecOps почали відходити від локальних інструментів. У міру згортання використання застарілого програмного забезпечення, брандмауери, CASB, веб-шлюзи та інші інструменти також переходитимуть на хмарну інфраструктуру.

«Оскільки довгострокові контракти на використання інструментів SecOps закінчуються протягом наступних 12-18 місяців, ми спостерігатимемо велику хвилю консолідації та трансформації інструментів у хмару для SecOps. І як тільки це станеться, основна увага буде приділена інструментам ITOps і тому, як організації зможуть використовувати їх для реалізації переваг, отриманих від SecOps за останні п'ять років», — зазначає Джей Гудман.


7. Рішення, націлені на підтримку психічного здоров'я та безпеки працівників, важливі для ІТ-команд

Пандемія виявила безліч прогалин у захисті інфраструктури та оптимізації ІТ, але як щодо психічного здоров'я працівників? Це делікатна тема, але в сучасних реаліях компанії повинні приділяти увагу здоров'ю та продуктивності своїх ІТ-команд, так само як і своїй ІТ-інфраструктурі.

«Психічне здоров'я та безпека на робочому місці стають все більш актуальними для організацій, проте сьогодні існує мало рішень, які можуть запропонувати науково підтверджені дані про стан психічного здоров'я працівників, що пройшли експертну оцінку. Крім інструментів для відстеження вакцинування відповідно до урядових постанов, існують рішення для відстеження поведінки, але вони в основному орієнтовані на продуктивність співробітників і не подобаються кінцевим користувачам, адже вважаються нав'язливими та вторгаються в приватне життя», — каже Ніколас Колайєр, Staff Product Manager.


Тож який головний висновок можна винести з 2021 року? Роль ITOps нарешті заслужено визнається ключовим елементом загального успіху бізнесу. Вклад IT-команди надзвичайно важливий для продуктивності, безпеки та підсумкових показників організації.

Сучасні ІТ-керівники заслуговують значно більшого, ніж застарілі інструменти для управління інфраструктурою. За допомогою хмарної платформи Automox автоматизуйте та масштабуйте свої ІТ-операції, щоб відповідати наростальним вимогам сучасного бізнесу. Завдяки повній видимості всього середовища ви зможете легко відстежувати, виявляти та реагувати на проблеми в режимі реального часу на будь-якому кінцевому пристрої, незалежно від ОС та місцеположення.

Дізнайтеся більше про рішення від Automox.


Компанія iIT Distribution – постачальник новітніх рішень та інструментів, що дозволяють корпоративним клієнтам отримувати переваги передових технологій у галузі побудови та обслуговування IT-інфраструктури та забезпечення кібербезпеки. Наші спеціалісти проведуть попередню експертизу проєкту та оцінять наявність умов для його реалізації у вашій компанії.

Назад

6 афер, які слід уникати в ці новорічні свята: добірка рекомендацій від Panda Security

Новина

Різдвяні та новорічні свята – час радості та добра, але, на жаль, не для кіберзлочинців. Велика кількість порушників використовує Різдво як вдалу можливість націлитися на ще більшу кількість жертв, розширюючи вектори своїх атак.


Щоб ви не втрачали своєї пильності, нагадаємо вам про шість видів шахрайства, яких слід остерігатися цього святкового сезону, а також пропонуємо ознайомитися зі статтями-рекомендаціями від компанії Panda Security:


Фішингові листи

Фішингові листи – це неймовірно ефективний спосіб обманом змусити людей, які нічого не підозрюють, завантажити шкідливе ПЗ або розкрити свої конфіденційні листи. Свята – джерело інфоприводів для створення переконливих тематичних листів-пасток. Докладніше про те, як розпізнати фішинговий лист, ви можете дізнатися тут.


Шахрайство у сфері IT-підтримки

Це шахрайство передбачає спробу залякати вас, щоб ви безперешкодно передали аферистові контроль над своїм комп'ютером та особисті дані. Зловмисник повідомить вас про те, що ваш пристрій заражений і що він, очевидно, зможе допомогти розв’язати проблему миттєво, завантаживши програму підтримки. Ось тут і починаються проблеми. Читайте докладніше.


Телефонне шахрайство, пов'язане з Amazon

Одного дня на ваш особистий номер можуть зателефонувати – і ви почуєте записане повідомлення від відділу боротьби з шахрайством Amazon з інформацією про дорогий товар, який щойно був замовлений вашим коштом. Якщо ви не впізнаєте транзакцію (а ви, звичайно, її не впізнаєте), вам запропонують натиснути 1, щоб повідомити про проблему. Після цього вас з'єднають з агентом, який здійснить запит ваших банківських реквізитів для повернення грошей, але ці дані будуть використовуватися лише для того, щоб спустошити ваш банківський рахунок. Дізнайтесь більше про те, як боротися з телефонним шахрайством тут.


Підроблені вебсайти

Шахраї щороку створюють тисячі підроблених сайтів. Вони справді дуже схожі на відомі магазини електронної комерції та здатні викликати довіру покупця, але жодного з товарів, представлених у каталозі, насправді не існує. Шахраї таким чином просто намагаються, знову ж таки, отримати дані вашої кредитної картки. Дізнайтесь більше про підроблені вебсайти тут.


Malware в електронних листівках

Електронні листівки швидші, простіші та екологічніші за паперові. Вони стають все більш популярним способом привітати друзів і близьких зі святами. Шахраї надсилають підроблені електронні листи з проханням натиснути на посилання, щоб одержувач відкрив листівку та завантажив програму встановлення шкідливого ПЗ.


Шахрайство, пов'язане з темою Covid-19

Отримали дзвінок або електронний лист, в якому вам повідомили, що ви вступили в контакт з людиною, яка має позитивний результат тесту на Covid? Зазвичай у таких ситуаціях вас можуть попросити назвати своє ім'я та адресу. Але якщо вас підштовхують до надання фінансових даних або просять здійснити платіж – ви маєте справу з шахраєм.


Сподіваємося, ці підказки допоможуть вам не стати жертвою злочинів у новому році. До того ж ви маєте можливість значно підвищити ефективність свого захисту за допомогою антивірусних ПЗ Panda Security. Замовляйте демоверсію програм, що зацікавили вас, на нашому сайті.

Дізнатись більше про рішення від компанії Panda Security.


Компанія iIT Distribution пам'ятає про сучасні ризики інформаційної безпеки та допомагає покращити кіберситуацію в багатьох компаніях, адже ми не лише забезпечуємо постачання ПЗ та технічного обладнання, але й надаємо повний комплекс послуг із супроводу проєктів.

Назад

11 кроків на шляху до відновлення після фішингової атаки: рекомендації від Lepide

Новина

Найчастіше фішингові атаки поширюються у вигляді електронного листа – це саме той тип атаки, коли зловмисник прикидається довіреною особою для того, щоб змусити жертву перейти за посиланням на шкідливий сайт або завантажити шкідливий додаток.


Метою фішингової атаки зазвичай є отримання конфіденційної інформації, наприклад даних платіжних карт чи облікових даних користувача.

Останнім часом фішингові атаки стають влучнішими та більш ускладненими. Тому не сваріть себе, якщо ви піддалися якійсь із них. Проте в такому разі необхідно діяти швидко, щоб мінімізувати можливу шкоду, яку може заподіяти зловмисник.

Нижче ми перераховуємо основні кроки до відновлення після фішингової атаки, які допоможуть вам захистити своїх дані та запобігти збоїв в роботі вашого бізнесу.


Крок 1. Відключіть пристрій від Інтернету

Це зменшить ризик поширення шкідливого програмного забезпечення через мережу. Або від’єднайтеся від мережі через налаштування Wi-Fi. Також можна просто від’єднати інтернет-кабель від пристрою.


Крок 2. Змініть свої паролі

Якщо вас направили на підроблений сайт та попросили ввести облікові дані, перейдіть на справжній сайт та замініть паролі. Якщо ви використовуєте одні й ті самі облікові дані для кількох облікових записів, вам варто замінити паролі всюди, де вони використовуються. Можливо варто також замінити підказки до паролей та секретні питання. Для підвищеної безпеки варто скинути пароль в масштабах всієї компанії.


Крок 3. Сканування мережі щодо наявності шкідливих програм.

Звісно, ваше антивірусне програмне забезпечення зробить все можливе, щоб повідомити вас про зараження, проте це рішення не є цілком надійними. Необхідно провести повне сканування мережі на наявність шкідливого ПЗ, включно з усіма пристроями, файлами, додатками, серверами та ін.


Крок 4. Перевірте наявність ознак крадіжки особистих даних

Якщо ви вважаєте, що стали жертвою фішингової афери, вам варто перевірити всі відповідні облікові записи на наявність ознак крадіжки. Наприклад, вам необхідно передивитися банківські виписки щодо підозрілих транзакцій. Здебільшого банк попереджає про будь-які активності на рахунку, які не викликають довіри. Крім цього, варто повідомити про інцидент відповідні агенції кредитних історій.


Крок 5. Поговоріть з колегами про те, що сталося

Вам необхідно розпитати всіх відповідних співробітників про те, що та коли вони бачили. Чи пригадують вони щось підозріле? Чи переходили за посиланням та чи завантажували ненадійні вкладення?

Крок 6. Проведіть криміналістичний аналіз для з’ясування причини інциденту

На цьому етапі ретельно вивчіть усі відповідні журнали щодо ознак компрометації. Також потрібно впевнитися, що вони зберігаються протягом тривалого часу. Вам слід перевірити логи брандмауера щодо наявності підозрілого мережевого трафіку та звернути увагу на будь-які нерозпізнані URL та IP-адреси. До того ж вам необхідно передивитися журнал поштового сервера, щоб дізнатися, хто саме отримав фішинговий лист, перевірити журнали DNS, щоб визначити, хто з користувачів проводив пошук через шкідливі домени. Не буде зайвим зробити копію фішингового листа та переглянути заголовки та додатки з метою з’ясування характеру та мети атаки. Зрештою, якщо ви використовуєте рішення для аудиту в режимі реального часу, перевірте журнали на наявність підозрілої активності, пов’язаної з конфіденційними даними та обліковими записами користувачів з особливими привілеями.


Крок 7. Налаштуйте спам-фільтри для блокування схожих листів

Після того, як ви вже маєте уявлення про те, що саме відбулося, ви можете переглянути налаштування безпеки електронної пошти для впевненості, що подібні повідомлення тепер блокуються.


Крок 8. Пошукайте в Інтернеті додаткову інформацію про атаку

Тепер, коли ви маєте достатньо інформації про характер та мету атаки, вам варто дізнатися в Інтернеті про те, які ще наслідки може мати подібна атака. Поцікавтеся досвідом інших користувачів. Пошукайте інформацію про те, які наступні кроки потрібні для відновлення після інциденту та запобігання наступним атакам.


Крок 9. Переконайтеся, що всі співробітники проінформовані щодо інциденту

Для зменшення негативних наслідків наступних атак, необхідно переконатися, що весь відповідний персонал (включно з керівництвом) розуміє, що таке атака та знає на що саме потрібно звертати увагу.


Крок 10. Зв’яжіться з компанією, від імені якої було здійснене шахрайство

Якщо фішинговий лист був надісланий під виглядом листа від законної організації, вам варто вийти з нею на зв’язок та повідомити про подію. Тоді дана установа зможе розіслати електронного листа своїм клієнтам та попередити їх про необхідність бути обачними.


Крок 11. Створіть резервну копію та оновіть програмне забезпечення

Після кібератаки не буде зайвим зробити резервну копію даних на випадок, якщо в процесі усунення наслідків якась інформація буде видалена. Вам також потрібно переконатися, що все ПЗ вчасно виправлене, адже велика кількість шкідливих програм намагається скористатися вразливістю програмного забезпечення для поширення на інші частини мережі.


iIT Distribution пропонує різноманіття рішень з кібербезпеки, які допоможуть компаніям забезпечити всебічний захист і підвищити ефективність своїх ІТ-інфраструктур. Ми тісно співпрацюємо зі своїми партнерами, щоб надати повну підтримку в проєктуванні та реалізації замовлених рішень.

Дізнайтеся більше про компанію Lepide та її рішення!

Назад

Mobile Marketing
+