Общество

Российские хакеры атаковали вирусом-вымогателем украинцев: Microsoft дала советы

Владислав Москаленко

Российские хакеры атаковали вирусом-вымогателем украинцев: Microsoft дала советы

Центр анализа угроз Microsoft (MSTIC) обнаружил доказательства новой кампании программ-требителей, нацеленных на организации в Украине и Польше с использованием ранее не идентифицированных программ-требителей. Мы заметили, что это новое программное обеспечение-требитель, обозначаемое в своей записке о выкупе как "Prestige ranusomeware", было развернуто 11 октября во время атак, которые происходили с интервалом в час на всех жертв.

Эта кампания имела несколько заметных особенностей, которые отличают ее от других кампаний-требителей, отслеживаемых Microsoft:

  • Развертывание программ-требителей в масштабах предприятия не является распространенным явлением в Украине, и эта деятельность не была связана ни с одной из 94 активных групп активности программ-требителей, отслеживаемых Microsoft.
  • Microsoft не наблюдала программу-требитель Prestige до этого развертывания
  • Эта деятельность похожа на виктимологию с недавней российской государственной деятельностью, в частности по пострадавшим регионам и странам, и совпадает с предыдущими жертвами вредоносного программного обеспечения FoxBlade (также известного как HermeticWiper).

Несмотря на использование подобных методов развертывания, кампания отличается от последних деструктивных атак с использованием AprilAxe (ArguePatch)/CaddyWiper или Foxblade (HermeticWiper), повлиявших на многочисленные организации критической инфраструктуры в Украине за последние две недели. MSTIC еще не связал эту кампанию вирусом-вымогателем с известной группой угроз и продолжает расследование. MSTIC отслеживает эту деятельность как DEV-0960.

Программное вирусом-вымогателем было развернуто автором после первоначального компромисса, предполагавшего получение доступа к учетным данным с высокой степенью привилегированности. Методы, которые использует автор и описаны в разделе "Наблюдение за деятельностью автора", можно смягчить, учитывая следующие соображения по безопасности:

  • Блокируйте создание процессов, поступающих от команд PSExec и WMI, чтобы остановить боковое движение с помощью компонента WMIexec Impactet.
  • Включите защиту от вмешательства, чтобы предотвратить остановку атак или препятствовать работе Microsoft Defender.
  • Включите облачную защиту в Microsoft Defender Antivirus или эквивалент для вашего антивирусного продукта, чтобы охватить инструменты и методы быстроразвивающихся злоумышленников. Облачные средства защиты машинного обучения блокируют множество новых и неизвестных вариантов.
  • Хотя эта атака отличается от традиционных программ-требователей, соблюдение наших указаний по защите от  вируса-вымогатель помогает защитить от кражи учетных данных, бокового перемещения и развертывания вирусом-вымогателем, используемых DEV-0960.
  • Используйте включенные индикаторы компрометации, чтобы исследовать, существуют ли они в вашей среде и оценить потенциальное вторжение.

Включите многофакторную аутентификацию (MFA) для предотвращения потенциально скомпрометированных учетных данных и убедитесь, что MFA применяется для всех удаленных соединений, включая VPN. Корпорация Майкрософт настоятельно рекомендует всем клиентам загружать и использовать беспарольные решения, такие как Microsoft Authenticator для защиты своих учетных записей.

Напомним, украинские хакеры показали по ТВ в оккупированном Крыму выступление Зеленского.

Хотите получать самые актуальные новости о войне и событиях в Украине – подписывайтесь на наш телеграмм канал!