В СБУ роз’яснили, як вберегтися від нової кібератаки
Зловмисники, які під час кібератаки Petya отримали адміністративні відомості, можуть створити умовно безстрокові TGT-квитки зі збереженням доступу
СБУ попереджає про можливу нову кібератаку на мережі українських установ та підприємств і просить дотримуватися рекомендацій з безпеки.
Про це повідомляє прес-центр СБУ.
Під час аналізу атаки вірусу Petya фахівці виявили, що їй передував збір даних про підприємства - електронні пошти, паролі, реквізити доступу до серверів, дані користувачів та інша інформація, відсутня у відкритому доступі. В подальшому дані приховали у файлах cookies та відправили на командний сервер.
Фахівці СБУ припускають, що саме ця інформація була метою першої хвилі кібератаки та може бути використана як для проведення кіберрозвідки, так і для подальших деструктивних акцій.
Про це свідчить виявлена утиліта Mimikatz (інструмент, що дозволяє отримати високопривілейовані дані з системи). Вона використовує архітектурні особливості служби Kerberos у Microsoft Active Directory для прихованого збереження привілейованого доступу до ресурсів домену. Робота Kerberos базується на обміні та верифікації TGT-квитків доступу.
У більшості установ та організацій зміна паролю krbtgt не передбачена.
Таким чином, зловмисники, які під час кібератаки Petya отримали адміністративні відомості, можуть створити умовно безстрокові TGT-квитки зі збереженням доступу в разі відключення зламаного облікованого запису.
СБУ радить системним адміністраторам і уповноваженим з інформаційної безпеки у найкоротший термін провести такі дії за наведеним порядком:
- здійснити обов’язкову зміну паролю доступу користувача krbtgt;
- здійснити обов’язкову зміну паролів доступу до всіх без винятку облікових записів в підконтрольній доменній зоні ІТС;
- здійснити зміну паролів доступу до серверного обладнання та до програм, які функціонують в ІТС;
- на виявлених скомпрометованих ПЕОМ здійснити обов’язкову зміну всіх паролів, які зберігались в налаштуваннях браузерів;
- повторно здійснити зміну паролю доступу користувача krbtgt;
- перезавантажити служби KDC.
У подальшому СБУ рекомендує зберігати дані про доступ, використовуючи для цього спеціалізоване програмне забезпечення.
Вчора Національний банк розіслав повідомлення, в якому сповістив банки про можливу вірусну атаку за допомогою програми Word на День Незалежності, 24 серпня.
Також читайте: Глава кіберполіції Сергій Демедюк: Інструкції до модифікованого вірусу Petya.A писали російською мовою. Це доведений факт
Коментарі — 0