Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України повідомила про можливий початок нової хвилі кібератак на інформаційні ресурси України 24.10.2017.

Були встановлені поодинокі випадки враження (Одеський аеропорт та Київський метрополітен).

До власників інформаційно-телекомунікаційних систем, інших інформаційних ресурсів, передусім транспортної інфраструктури, а також пересічних інтернет-користувачів звертаються з проханням дотримуватися посилених вимог кібербезпеки.

В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.

При цьому Департамент кіберполіції Національної поліції України вказує, що 24.10.2017 було зафіксовано атаки на деякі українські підприємства з використанням вірусу-шифрувальника. Комп’ютери користувачів, з операційною системою Windows, за однією з версій були уражені внаслідок відкриття файлів електронних документів із розширенням .doc та .rtf, що надсилалися каналами електронної пошти від невстановлених відправників.

Після цього виконувався вбудовуваний у документи шкідливий алгоритм, за результатами якого завантажувався та виконувався файл — тіло вірусу з назвою «heropad64.exe».

Після відпрацювання вказаного вірусу диск комп’ютера зашифровано, на екрані зображувалося повідомлення з вимогою про викуп за розшифровку файлів та посиланням на сайт у мережі ТОR, де можливо отримати реквізити для переказу коштів у розмірі 0,05 ВТС.

Зазначимо, що вказана атака була не цілеспрямованою. Від її наслідків постраждали не лише українські суб’єкти господарювання.

За попереднім аналізом, цю атаку також було здійснено з використанням бот-мережі Necurs. Для атаки хакери використовували вразливість DDE в Microsoft Office (CVE-2017-11826).

СБУ для попередження несанкціонованого блокування інформаційних систем просить дотримуватися таких рекомендацій:

  • забезпечити щоденне оновлення системного програмного забезпечення, у т.ч. OS Windows усіх без винятку версій, також обов’язково встановити оновлення KB3213630 (для Windows 10);
  • у налаштуваннях мережевої безпеки заблокувати доступ до домену x90DOTim, з якого завантажується шкідливе програмне забезпечення. Не відкривати в браузері! DOT змінити на крапку;
  • не відкривати вкладення до електронної пошти, у т.ч. форматів .doc та .rtf, що надійшли від неперевіреного відправника;
  • забезпечити дотримання загальних правил інформаційної безпеки, зокрема, створення резервних копій, своєчасне оновлення антивірусного та прикладного програмного забезпечення.
Бухгалтерський сервіс «Iнтерактивна бухгалтерія»