Украине грозит новая кибератака: СБУ рассказала, как уберечься от хакеров
Во время анализа атаки вируса Petya специалисты обнаружили, что ей предшествовал сбор данных о предприятиях - электронные почты, пароли, реквизиты доступа к серверам, данные пользователей и другая информация, отсутствующая в открытом доступе. В дальнейшем данные скрыли в файлах cookies и отправили на командный сервер.
Специалисты СБУ предполагают, что именно эта информация была целью первой волны кибератаки и может быть использована как для проведения киберразведки, так и для дальнейших деструктивных акций.
Об этом свидетельствует обнаруженная утилита Mimikatz (инструмент, позволяющий получить високопривелигированные данные из системы). Она использует архитектурные особенности службы Kerberos в Microsoft Active Directory для скрытого сохранения привилегированного доступа к ресурсам домена. Работа Kerberos базируется на обмене и верификации TGT-билетов доступа.
В большинстве учреждений и организаций смена пароля krbtgt не предусмотрена.
Таким образом, злоумышленники, которые во время кибератаки Petya получили административные сведения, могут создать условно бессрочные TGT-билеты с сохранением доступа в случае отключения взломанной учтенной записи.
СБУ советует системным администраторам и уполномоченным по информационной безопасности в кратчайший срок провести следующие действия по наведенному порядку:
- осуществить обязательную смену пароля доступа пользователя krbtgt;
- осуществить обязательную смену паролей доступа ко всем без исключения учетным записей в подконтрольной доменной зоне ИТС;
- осуществить смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС;
- на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;
- повторно произвести смену пароля доступа пользователя krbtgt;
- перезагрузить службы KDC.
В дальнейшем СБУ рекомендует хранить данные о доступе, используя для этого специализированное программное обеспечение.
Вчера, как сообщала "ДС" Национальный банк разослал сообщение, в котором уведомил банки о возможной вирусной атаке при помощи программы Word на День Независимости.