Консультаційні послуги

  • Поділитися

Атака програми-вимагача WannaCryptor

12 травня 2017 року зафіксована масована атака програми WannaCryptor (також відомої як WCry або WannaCry), від якої постраждали компанії різних секторів економіки в усьому світі. За останніми даними атака призвела до зупинки понад 200 000 систем, розташованих у 150 країнах. При цьому Глобальний дослідницький центр EY з кібербезпеки разом з багатьма фахівцями з інформаційної безпеки зазначає, що програма-вимагач за останні дні була вдосконалена злочинцями і вже зараз обходить деякі механізми протидії, що були актуальні ще 12 травня.

Програма-вимагач WannaCryptor є гібридним шкідливим програмним забезпеченням. При атаці застосовуються як механізми цільової фішингової розсилки, так і механізми, властиві комп'ютерним черв'якам, - поширення власного тіла з використанням вразливостей внутрішньої ІТ-інфраструктури компанії. Після зараження програма-вимагач вибірково шифрує файли на жорсткому диску і доступних мережевих ресурсах, після чого виводить повідомлення про загрозу втрати критичних даних і необхідний викуп.

Компанія EY вже надала рекомендації низці своїх клієнтів, які постраждали в результаті даної атаки. Якщо вашій організації потрібна допомога в розробці заходів щодо запобігання збиткам та мінімізації негативних наслідків подібних атак, управління кризовими ситуаціями, забезпечення збереження даних, а також підготовці незалежного звіту для надання регуляторам або для цілей судових розглядів, ви можете звернутися до нас.

Рекомендації щодо запобігання та мінімізації негативних наслідків даної атаки наведено нижче.

Рекомендації:

  1. Заблокувати вхідні з'єднання з Інтернету за протоколами SMB і RDP (порти 445, 139, 3380).
  2. Заборонити використання протоколу SMBv1 у внутрішній мережі компанії.
  3. Переконатися в тому, що всі робочі станції і сервери під управлінням MS Windows мають всі необхідні оновлення (особливо #MS17-010).
  4. Провести інвентаризацію і відключити всі невикористовувані мережеві ресурси.
  5. Провести ревізію прав доступу користувачів до мережевих ресурсів.
  6. Тимчасово призупинити можливість підвищення привілею для програмного забезпечення на робочих станціях.
  7. Змінити паролі адміністративних облікових записів і включити запис всіх дій таких облікових записів.
  8. Переконатися в наявності безпечних резервних копій всіх критично важливих даних.
  9. Переконатися в тому, що доступ користувачів до резервних копій здійснюється тільки з правами «на читання». Запис резервних копій здійснювати з використанням спеціальних облікових записів.
  10. Донести до співробітників організації інформацію про дану загрозу інформаційній безпеці і нагадати правила роботи з електронною поштою і мережею Інтернет.
  11. Відключити використання макросів в продуктах MS Office.
  12. Організувати відстеження оновлень, інформаційних повідомлень і рекомендацій як виробників програмного і апаратного забезпечення, що використовує ваша організація, так і незалежних центрів з кібербезпеки на предмет відповідного реагування на дану загрозу.
  13. Переконатися в тому, що постачальники ключових сервісів організації не постраждали від атаки, продовжують нормально функціонувати і їм не потрібна допомога вашої компанії у вирішенні інциденту.
  14. У разі якщо зараження вже ідентифіковано:
  • Терміново виконати відключення зовнішніх носіїв інформації (зокрема всі мережеві підключення).
  • Забезпечити збереження і цілісність даних (включно з уже зашифрованими).
  • Повідомити про даний інцидент співробітникам інформаційної безпеки.
  • Активувати план управління інцидентами з інформаційної безпеки.
  • Активувати план управління безперервністю роботи бізнесу і відновлення ІТ після збоїв і переривань.
  • Протоколювати всі основні дії, проводити збір фактів, що підтверджують інцидент і вжиті заходи.

Ми пропонуємо вам самостійно або з залученням зовнішніх консультантів виконати експрес-оцінку рівня безпеки, в тому числі наступні кроки:

  • Виконання інвентаризації програмного забезпечення, включаючи оцінку критичності інформаційних активів.
  • Аналіз повноти і надійності механізмів резервування і відновлення даних.
  • Аналіз повноти політик і заходів забезпечення безперервності бізнесу, а також реагування на інциденти.
  • Аналіз достатності та повноти виконаних оновлень програмного забезпечення.
  • Аналіз повноти і достатності процедур управління конфігурацією, патч-менеджменту і управління вразливостями.
  • Аналіз заходів управління знаннями в області ІБ і підвищення обізнаності користувачів.
  • Аналіз можливості компрометації інфраструктури.
  • Аналіз подій інформаційної безпеки у внутрішній мережі компанії.
  • Ідентифікація недозволеного / забороненого програмного забезпечення.
  • Розслідування інцидентів, включаючи збір юридично значимих свідчень і фактів компрометації:
    • аналіз вихідних з'єднань з мережею Інтернет
    • аналіз наявності шкідливого програмного забезпечення
    • аналіз рівня та прав доступу до мережевих ресурсів
    • аналіз наявності підозрілих облікових записів
    • відновлення ланцюжка подій, які призвели до компрометації інфраструктури.

Завантажити вісник.

Костянтин Невядомський
Партнер
Тел.: +380 (44) 499 2025

Дмитро Лазученков
Менеджер
Тел.: +380 (44) 499 3367

Наші послуги