24 жовтня близько 15:00 у Міністерстві інфраструктури повідомили про тимчасове припинення роботи у зв'язку з кібератакою. Про це написала на своїй сторінці в Facebook прес-секретар міністерства Марина Томко.
Згодом, о 16.20, про кібератаку також заявили у КП "Київський метрополітен": "Увага! Кібератака! Метро працює в звичайному режимі, окрім банківських сервісів (оплата безконтактними банківськими картками на жовтому турнікеті чи MasterPass). Жетон, проїзні та картки метро з усіма знижками працюють. Перепрошуємо за незручності та просимо пасажирів користуватися альтернативними способами оплати."
Про хакерську атаку також повідомили у аеропорті "Одеса".
"Повідомляємо, що інформаційна система Міжнародного аеропорту «Одеса» зазнала хакерської атаки. Всі служби аеропорту працюють в посиленому режимі. Приносимо свої вибачення пасажирам за вимушене збільшення часу обслуговування" - йшлося в повідомленні.
О 18.10 цю інформацію підтвердили і в Держспецзв'язку. Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України повідомила про можливий початок нової хвилі кібератак на інформаційні ресурси України 24.10.2017 р.
"Встановлені поодинокі випадки враження (Одеській аеропорт та Київський метрополітен). Просимо власників інформаційно-телекомунікаційних систем, інших інформаційних ресурсів, у першу чергу транспортної інфраструктури, а також пересічних інтернет-користувачів дотримуватися посилених вимог кібербезпеки (у т.ч. викладених раніше)" - зазначалося на сайті Держспецзв'язку.
Згодом у відомостві також конкретизували, що в атаці 24.10.2017 р. на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.
19.01 - СБУ зупинила кібератаку
Прес-служба СБУ повідомила, що їхні співробітники оперативно проаналізували та блокували нові випадки ураження комп’ютерів вітчизняного сегменту мережі Інтернет шкідливим програмним забезпеченням.
Фахівці СБ України встановили, що доставка вірусу відбувалася з використанням фішингових листів електронної пошти зі зворотною адресою, яка асоціюється зі службою технічної підтримки компанії Майкрософт.
"Сьогодні, 24 жовтня, кібератаки за цією схемою, зокрема, зазнав київський метрополітен та одеський аеропорт, де внаслідок дії вірусу типу шифрувальника було заблоковано функціонування служби реєстрації пасажирів. Наразі подальше розповсюдження вірусу припинено, загроз безпеці руху немає" - зазначено у повідомленні від СБУ.
Для попередження несанкціонованого блокування інформаційних систем СБУ рекомендує:
- забезпечити щоденне оновлення системного програмного забезпечення, у т.ч. OS Windows усіх без винятку версій. Також обов’язково встановити оновлення KB3213630 (для Windows 10);
- у налаштуваннях мережевої безпеки заблокувати доступ до домену x90DOTim, з якого завантажується шкідливе програмне забезпечення;
- не відкривати в браузері! DOT змінити на крапку;
- не відкривати вкладення до електронної пошти, у тому числі форматів .doc та .rtf, що надійшли від неперевіреного відправника;
- забезпечити дотримання загальних правил інформаційної безпеки, зокрема створення резервних копій, своєчасне оновлення антивірусного та прикладного програмного забезпечення.
Нагадаємо, що 12 жовтня СБУ попереджала про можливу масштабну кібератаку на державні структури та приватні компанії та надала відповідні рекомендації. Про це читайте тут>>
20.14 У Департаменті кіберполіції Національної поліції України підтвердили, що ком’ютери користувачів з операційною системою Windows, за однією із версій були уражені внаслідок відкриття файлів електронних документів з розширенням .doc та .rtf, що надсилались каналами електронної пошти від невстановлених відправників.
Після цього виконувався вбудовуваний в документи шкідливий алгоритм, за результатами якого завантажувався та виконувався файл – тіло вірусу з назвою “heropad64.exe”.
Після відпрацювання вказаного вірусу диск комп’ютера зашифровано, на екрані зображувалось повідомлення із вимогою про викуп за розшифровку файлів та посиланням на сайт в мережі ТОR, де можливо отримати реквізити для переводу коштів в розмірі 0,05 ВТС.
"Вказана атака була не цілеспрямованою. Від її наслідків постраждали не лише українські суб’єкти господарювання. За попереднім аналізом вказану атаку також було здійснено з використанням бот-мережі Necurs. Для атаки хакери використовували вразливість DDE в Microsoft Office (CVE-2017-11826)" - йшлося у повідомленні.
Згодом (21.06) у Кіберполіції додали: "На даний момент, ми не вважаємо цю атаку цілеспрямованою. Також, є сумніви щодо розповсюдження за допомогою DDE. В якості індикаторів компрометації: hxxp://1dnscontrol.com/flash_install.phpde5c8d858e6e41da715dca1c019df0bfb92d32c0"
25.10.2017 р. - У Держцентрі кіберзахисту розповіли подробиці вчорашньої кібератаки
Поряд з розсилкою 24.10.2017 року шифрувальника файлів Locky, який розповсюджувався через фішингові повідомлення та використовув техніку DDE спостерігалася більш масова розсилка шифрувальника файлів Bad Rabbit через скомпрометовані веб-сайти завдяки drive-by download атаці.
Дана атака дозволяла зловмисникам розповсюджувати шкідливе програмне забезпечення через веб-сайти, навіть не зламуючи їх.
Докладніше про це читайте тут>>
26.10.2017 р. Подробиці дії вірусу-шифрувальника «BadRabbit» також розповіли у Кіберполіції
Як повідомляють у Департаменті кіберполіції, попередньо встановлено: у коді «BadRabbit» є дубльовані та аналогічні елементи коду «Petya»/«NotPetya» (Mimikatz, використання протоколу SMB для горизонтального поширення, використовуючи імена користувачів та їх паролі та інше).
На відмінність від «NotPetya» шифрувальник «BadRabbit» не є вайпером, тобто він не має на меті знищення інформації на жорстких дисках уражених комп’ютерів. Спеціалісти зазначають, що справжньою метою цієї «атаки» було бажання зловмисників збагатитися і вона була здійсненна виключно з корисливих мотивів.