Консультационные услуги

  • Поделиться

Атака программы-вымогателя WannaCryptor

12 мая 2017 года зафиксирована массированная атака программы-вымогателя WannaCryptor (также известной, как WCry или WannaCry), которой подверглись компании различных секторов экономики по всему миру. По последним данным атака привела к остановке более 200 000 систем, расположенных в 150 странах. При этом Глобальный исследовательский центр EY по кибербезопасности наряду со многими специалистами по информационной безопасности отмечает, что программа-вымогатель за эти последние дни была усовершенствована преступниками и уже сейчас обходит некоторые механизмы противодействия, которые были актуальны еще 12 мая.

Программа-вымогатель WannaCryptor является гибридным зловредным программным обеспечением. При атаке применяются как механизмы целевой фишинговой рассылки, так и механизмы, присущие компьютерным червям, – распространение собственного тела с использованием уязвимостей внутренней ИТ-инфраструктуры компании. После заражения программа-вымогатель выборочно шифрует файлы на жестком диске и доступных сетевых ресурсах, после чего выводит сообщение об угрозе потери критических данных и требуемом выкупе.

Компания EY уже предоставила рекомендации ряду своих клиентов, пострадавших в результате данной атаки. Если вашей организации нужна помощь в разработке мер по предотвращению ущерба и минимизации негативных последствий подобных атак, управлению кризисными ситуациями, обеспечению сохранности данных, а также подготовке независимого отчета для предоставления регуляторам или для целей судебных разбирательств, вы можете обратиться к нам (контактная информация указана ниже).

Ряд рекомендаций по предотвращению и минимизации негативных последствий данной атаки приведен ниже.

Рекомендации:

  1. Заблокировать входящие из Интернета соединения по протоколам SMB и RDP (порты 445, 139, 3380).
  2. Запретить использование протокола SMBv1 во внутренней сети компании.
  3. Убедиться в том, что все рабочие станции и сервера под управлением MS Windows имеют все необходимые обновления (особенно # MS17-010).
  4. Провести инвентаризацию и отключить все неиспользуемые сетевые ресурсы.
  5. Провести ревизию прав доступа пользователей к сетевым ресурсам.
  6. Временно приостановить возможность повышения привилегий для программного обеспечения на рабочих станциях.
  7. Изменить пароли административных учетных записей и включить запись всех действий таких учетных записей.
  8. Убедиться в наличии безопасных резервных копий всех критически важных данных.
  9. Убедиться в том, что доступ пользователей к резервным копиям осуществляется только с правами «на чтение». Запись резервных копий осуществлять с использованием специальных учетных записей.
  10. Довести до сотрудников организации информацию о данной угрозе информационной безопасности и напомнить правила работы с электронной почтой и сетью Интернет.
  11. Отключить использование макросов в продуктах MS Office.
  12. Организовать отслеживание обновлений, информационных сообщений и рекомендаций как производителей программного и аппаратного обеспечения, используемого вашей организацией, так и независимых центров по кибербезопасности на предмет соответствующего реагирования на данную угрозу.
  13. Убедиться в том, что поставщики ключевых сервисов организации не пострадали от атаки, продолжают нормально функционировать и им не нужна помощь вашей компании в разрешении инцидента.
  14. В случае если заражение уже идентифицировано:
  • В срочном порядке выполнить отключение внешних носителей информации (включая все сетевые подключения).
  • Обеспечить сохранность и целостность данных (включая уже зашифрованных).
  • Сообщить о данном инциденте сотрудникам информационной безопасности.
  • Активировать план управления инцидентами по информационной безопасности.
  • Активировать план управления непрерывностью бизнеса и восстановления ИТ после сбоев и прерываний.
  • Протоколировать все основные действия, производить сбор фактов, подтверждающих инцидент и сделанные шаги.

Мы предлагаем вам самостоятельно или с привлечением внешних консультантов выполнить экспресс-оценку безопасности, в том числе следующее:

  • Выполнение инвентаризации программного обеспечения, включая оценку критичности информационных активов.
  • Анализ полноты и надежности механизмов резервирования и восстановления данных.
  • Анализ полноты политик и мер обеспечения непрерывности бизнеса, а также реагирования на инциденты.
  • Анализ достаточности и полноты выполненных обновлений программного обеспечения.
  • Анализ полноты и достаточности процедур управления конфигурацией, патч-менеджмента и управления уязвимостями.
  • Анализ мер управления знаниями в области ИБ и повышения осведомленности пользователей.
  • Анализ возможности компрометации инфраструктуры.
  • Анализ событий информационной безопасности во внутренней сети компании.
  • Идентификация неразрешенного / запрещенного программного обеспечения.
  • Расследование инцидентов, включая сбор юридически значимых свидетельств и фактов компрометации:
    • анализ исходящих соединений к сети Интернет
    • анализ на наличие зловредного программного обеспечения
    • анализ уровня и прав доступа к сетевым ресурсам
    • анализ на наличие подозрительных учетных записей
    • восстановление цепочки событий, которые привели к компрометации инфраструктуры.

Контактная информация

Будьте в курсе

Николай Самодаев
Партнер
Тел.: + 7 (495) 755 9700

Андрей Абашев
Старший менеджер
Тел.: + 7 (495) 755 9700