Národné centrum kybernetickej bezpečnosti SK-CERT analyzoval nedávne medializované útoky. Tu sú podrobnosti a odporúčania
Aktualizované 21.4.2021 – rozšírený zoznam IOC
K varovaniu zo dňa 16.04.2021 Národné centrum kybernetickej bezpečnosti SK-CERT publikuje tieto doplňujúce informácie a technické identifikátory:
NCKB SK-CERT pozoroval v krátkom časovom slede ransomvérovú infekciu vo viacerých organizáciách v sektoroch informačných technológií vo verejnej správe (ITVS), telekomunikácií, energetiky a inteligentného priemyslu s potenciálnymi dôsledkami na fungovanie kritickej infraštruktúry štátu.
Ide o viacero typov ransomvéru prevažne z rodiny EKING/PHOBOS a pozorovaný bol aj ransomvér z rodiny Hakbit.
Útočný vektor:
Tieto rodiny ransomvéru používajú rôzne útočné vektory, konkrétny vektor sa líši od prípad od prípadu. Častou formou je zneužitie verejne dostupného vzdialeného prístupu cez Remote Desktop Protocol a rôzne formy phishing kampaní.
Prípony šifrovaných súborov:
.eking, .eight, .CRYSTAL
E-mailové kontakty útočníkov:
chocolate_muffin@tutanota[.]com
Malvér má nasledujúce schopnosti:
- deaktivácia antivírusového softvéru (vypnutím funkcií, antivírusový softvér sa po deaktivácii naďalej javí ako funkčný, ale zmeny možno pozorovať v jeho nastaveniach)
- zmazanie lokálnych údajových štruktúr, ktoré by mohli napomôcť obnove (shadow copies)
- šifrovanie lokálnych súborov
- identifikácia a šifrovanie priečinkov dostupných po sieti
Proces je prítomný v pamäti a po vytvorení nových súborov ich automaticky znova zašifruje.
MD5 hashe tohto typu ransomvéru (vrátane údajov z otvorených zdrojov):
- b3a5ba623d739ee76f05dc6b2b7f9fee
- f0dcbc8651bcf391cb1556cf823314a8
- 840d99c89f366505d06259a89273f8b
- 128d013b0c3c605cbf9f902f8a7a5fe0
- 11de7230a2f300393d7b47983885e9ce
- 217c7b112bc3651f9c91fc7f8ca773d7
- 1d5535c855ae098ab7d0d7350e13df96
- a34ceb9c75ceaceb5998ca0af804c50a
- 840d99c89f366505d06259a89273f8b1
- 77d594f3eeb39cce1158f70924f61443
- 4bfe4cbed3483c62789724e827bd1fa9
- be13334c44f2e0331a6d1d6460ff9359
- d62a9ae1380402cc467cced405ba4aa0
- be13334c44f2e0331a6d1d6460ff9359
Odporúčania pri prebiehajúcej infekcii (šifrovaní):
- tieto verzie ransomvéru využívajú asymetrické šifrovanie a dešifrovací kľúč, potrebný na plné obnovenie nikdy nie je prítomný na počítači, na ktorom aktuálne prebieha infekcia. V tomto špecifickom prípade teda neplatí bežné odporúčanie počítač nevypínať. Ak pozorujete aktivitu ransomvéru, ktorú sprevádza vysoká záťaž diskov aj CPU, s podozrením na ransomvér rodiny PHOBOS, počítač okamžite fyzicky vypnite a odpojte od siete
- ak ide o virtuálny server, odporúčame pred vypnutím vytvoriť taký typ snapshotu, ktorý obsahuje stav disku aj obraz pamäti servera (t. j. zachytáva živý systém v bežiacom stave)
- zariadenie aj ďalšie napadnuté zariadenia a sieťové segmenty v každom prípade izolujte
Preventívne odporúčania:
- majte k dispozícii zálohy, preferovane v offline forme (cold stand-by)
- nikdy nezálohujte formou kopírovania dát na sieťový priečinok, ale využívajte zálohovací softvér, ktorý dáta z počítačov sám sťahuje
- na zálohovací softvér, virtualizačnú platformu a diskové úložiská nikdy neumožnite prihlásenie s doménovými účtami. Používajte na nich jedinečné heslá, ktoré nebudete mať uložené na pracovných staniciach
- nepublikujte služby ako RDP a/alebo VNC na verejných IP adresách. Pri potrebe vzdialeného prístupu použite šifrovaný VPN prístup, ktorý býva bežnou súčasťou sieťových firewallov. Je tiež možné zvoliť niektorý z voľne dostupných VPN nástrojov, ako sú OpenVPN, WireGuard a podobne
- uistite sa, že máte aplikované záplaty na nedávne zraniteľnosti MS Exchange a Fortinet, pred ktorými sme varovali:
« Späť na zoznam
