Národné centrum kybernetickej bezpečnosti SK-CERT analyzoval nedávne medializované útoky. Tu sú podrobnosti a odporúčania

Aktualizované 21.4.2021 – rozšírený zoznam IOC

K varovaniu zo dňa 16.04.2021 Národné centrum kybernetickej bezpečnosti SK-CERT publikuje tieto doplňujúce informácie a technické identifikátory:

NCKB SK-CERT pozoroval v krátkom časovom slede ransomvérovú infekciu vo viacerých organizáciách v  sektoroch informačných technológií vo verejnej správe (ITVS), telekomunikácií, energetiky a inteligentného priemyslu s potenciálnymi dôsledkami na fungovanie kritickej infraštruktúry štátu.

Ide o viacero typov ransomvéru prevažne z rodiny EKING/PHOBOS a pozorovaný bol aj ransomvér z rodiny Hakbit.

Útočný vektor:

Tieto rodiny ransomvéru používajú rôzne útočné vektory, konkrétny vektor sa líši od prípad od prípadu. Častou formou je zneužitie verejne dostupného vzdialeného prístupu cez Remote Desktop Protocol a rôzne formy phishing kampaní.

Prípony šifrovaných súborov:

.eking, .eight, .CRYSTAL

E-mailové kontakty útočníkov:

[email protected][.]li

[email protected][.]com

[email protected][.]com

[email protected][.]com

[email protected][.]com

[email protected][.]io

[email protected][.]io

[email protected][.]io

Malvér má nasledujúce schopnosti:

  • deaktivácia antivírusového softvéru (vypnutím funkcií, antivírusový softvér sa po deaktivácii naďalej javí ako funkčný, ale zmeny možno pozorovať v jeho nastaveniach)
  • zmazanie lokálnych údajových štruktúr, ktoré by mohli napomôcť obnove (shadow copies)
  • šifrovanie lokálnych súborov
  • identifikácia a šifrovanie priečinkov dostupných po sieti

Proces je prítomný v pamäti a po vytvorení nových súborov ich automaticky znova zašifruje.

MD5 hashe tohto typu ransomvéru (vrátane údajov z otvorených zdrojov):

  • b3a5ba623d739ee76f05dc6b2b7f9fee
  • f0dcbc8651bcf391cb1556cf823314a8
  • 840d99c89f366505d06259a89273f8b
  • 128d013b0c3c605cbf9f902f8a7a5fe0
  • 11de7230a2f300393d7b47983885e9ce
  • 217c7b112bc3651f9c91fc7f8ca773d7
  • 1d5535c855ae098ab7d0d7350e13df96
  • a34ceb9c75ceaceb5998ca0af804c50a
  • 840d99c89f366505d06259a89273f8b1
  • 77d594f3eeb39cce1158f70924f61443
  • 4bfe4cbed3483c62789724e827bd1fa9
  • be13334c44f2e0331a6d1d6460ff9359
  • d62a9ae1380402cc467cced405ba4aa0
  • be13334c44f2e0331a6d1d6460ff9359

Odporúčania pri prebiehajúcej infekcii (šifrovaní):

  • tieto verzie ransomvéru využívajú asymetrické šifrovanie a dešifrovací kľúč, potrebný na plné obnovenie nikdy nie je prítomný na počítači, na ktorom aktuálne prebieha infekcia. V tomto špecifickom prípade teda neplatí bežné odporúčanie počítač nevypínať. Ak pozorujete aktivitu ransomvéru, ktorú sprevádza vysoká záťaž diskov aj CPU, s podozrením na ransomvér rodiny PHOBOS, počítač okamžite fyzicky vypnite a odpojte od siete
  • ak ide o virtuálny server, odporúčame pred vypnutím vytvoriť taký typ snapshotu, ktorý obsahuje stav disku aj obraz pamäti servera (t. j. zachytáva živý systém v bežiacom stave)
  • zariadenie aj ďalšie napadnuté zariadenia a sieťové segmenty v každom prípade izolujte

Preventívne odporúčania:

  • majte k dispozícii zálohy, preferovane v offline forme (cold stand-by)
  • nikdy nezálohujte formou kopírovania dát na sieťový priečinok, ale využívajte zálohovací softvér, ktorý dáta z počítačov sám sťahuje
  • na zálohovací softvér, virtualizačnú platformu a diskové úložiská nikdy neumožnite prihlásenie s doménovými účtami. Používajte na nich jedinečné heslá, ktoré nebudete mať uložené na pracovných staniciach
  • nepublikujte služby ako RDP a/alebo VNC na verejných IP adresách. Pri potrebe vzdialeného prístupu použite šifrovaný VPN prístup, ktorý býva bežnou súčasťou sieťových firewallov. Je tiež možné zvoliť niektorý z voľne dostupných VPN nástrojov, ako sú OpenVPN, WireGuard a podobne
  • uistite sa, že máte aplikované záplaty na nedávne zraniteľnosti MS Exchange a Fortinet, pred ktorými sme varovali:

« Späť na zoznam