• Посилання скопійовано

У Держцентрі кіберзахисту розповіли подробиці вчорашньої кібератаки

Поряд з розсилкою 24.10.2017 року шифрувальника файлів Locky, який розповсюджувався через фішингові повідомлення та використовув техніку DDE спостерігалася більш масова розсилка шифрувальника файлів Bad Rabbit через скомпрометовані веб-сайти завдяки drive-by download атаці

У Держцентрі кіберзахисту розповіли подробиці вчорашньої кібератаки

Про це повідомили на сайті спеціалізованого структурного підрозділу Державного центру кіберзахисту та протидії кіберзагрозам (ДЦКЗ) Держспецзв’язку.

Дана атака дозволяла зловмисникам розповсюджувати шкідливе програмне забезпечення через веб-сайти, навіть не зламуючи їх.

 

Коротко про вчорашні події:

— початкове зараження відбулося через скомпрометовані веб-сайти та фейкове оновлення Flash Player, яке для активації та подальшої експлуатації потребувало взаємодію з користувачем (користувач мав підтвердити згоду щодо встановлення оновлення);

— розповсюдження у локальній мережі відбувалося через сканування  внутрішньої мережі на відкритіcть SMB-файлів відкритого доступу, а також намаганням використати протокол HTTP WebDAV, який базується на HTTP і дозволяє використовувати Web як ресурс для читання і запису;

— використовувався Mimikatz для вилучення облікових даних користувача з пам’яті інфікованого ПК;

— використовувалося легітимне програмне забезпечення DiskCryptor для шифрування файлів;

— типи розширень файлів, які були зашифровані на ПК користувача:

  • .3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb
  • .gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c
  • .pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd
  • .vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.

 Також про цю хакерську атаку ми розповідали у новині тут>>

 

Більш детальні відомості щодо атаки були опубліковані антивірусними лабораторіями та іншими відомими вендорами в галузі кібербезпеки:

https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back-improved-ransomware/ 

https://www.kaspersky.com/blog/bad-rabbit-ransomware/19887/

https://securelist.com/bad-rabbit-ransomware/82851/

https://www.theregister.co.uk/2017/10/24/badrabbit_ransomware/

https://gist.github.com/roycewilliams/a723aaf8a6ac3ba4f817847610935cfb

http://blog.talosintelligence.com/2017/10/bad-rabbit.html?m=1

 

Індикатори компрометації:

url:

hxxp://185.149.120[.]3/scholargoogle/

hxxp://1dnscontrol[.]com/flash_install.php

hxxp://caforssztxqzf2nm[.]onion

 

Dropper:

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/detection

 

Payload:

8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

C:\Windows\dispci.exe (diskcryptor client)

 

682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806

C:\Windows\cscc.dat (x32 diskcryptor drv)

 

0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

C:\Windows\cscc.dat (x64 diskcryptor drv)

 

579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648

C:\Windows\infpub.dat

 

2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035

(mimikatz-like x86)

 

301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c

(mimikat-like x64)

 

Scheduled Tasks names:

в Taskschd.msc пошукати та видалити такі задачі

viserion_

rhaegal

drogon

 

Скомпрометовані сайти:

hxxp://argumentiru[.]com

hxxp://www.fontanka[.]ru

hxxp://grupovo[.]bg

hxxp://www.sinematurk[.]com

hxxp://www.aica.co[.]jp

hxxp://spbvoditel[.]ru

hxxp://argumenti[.]ru

hxxp://www.mediaport[.]ua

hxxp://blog.fontanka[.]ru

hxxp://an-crimea[.]ru

hxxp://www.t.ks[.]ua

hxxp://most-dnepr[.]info

hxxp://osvitaportal.com[.]ua

hxxp://www.otbrana[.]com

hxxp://calendar.fontanka[.]ru

hxxp://www.grupovo[.]bg

hxxp://www.pensionhotel[.]cz

hxxp://www.online812[.]ru

hxxp://www.imer[.]ro

hxxp://novayagazeta.spb[.]ru

hxxp://i24.com[.]ua

hxxp://bg.pensionhotel[.]com

hxxp://ankerch-crimea[.]ru

Джерело: Департамент кіберполіції Національної поліції України

Рубрика: Держрегулювання/Інше

Зверніть увагу: новинна стрічка «Дебету-Кредиту» містить не тільки редакційні матеріали, але також статті сторонніх авторів, роз'яснення співробітників фіскальної служби тощо.

Дані матеріали, а також коментарі до них, відображають виключно точку зору їх авторів і можуть не співпадати з точкою зору редакції. Редакція не ідентифікує особи коментаторів, не модерує тексти коментарів та не несе відповідальності за їх зміст.

30 днiв передплати безкоштовно!Оберiть свiй пакет вiд «Дебету-Кредиту»
на мiсяць безкоштовно!
Спробувати

Усі новини рубрики «Інше»