Что следует сделать, чтобы не пополнить число жертв атаки BadRabbit?
Vasily Konstantinov24/10 началась массовая вирусная атака, к которой, увы, применим термин очередная, – шифровальщик BadRabbit заблокировал работу многих пользователей в России, Украине, Турции, Японии, Болгарии и Германии. По имеющимся данным нарушен ряд сервисов в киевском метрополитене и ряде других организаций.
Несмотря на аналогии с предыдущими атаками WannaCry и NotPetya, для распространения BadRabbit не использует уязвимость EternalBlue из арсенала спецслужб. Вместо этого злоумышленники взломали несколько популярных сайтов, с которых под видом обновления AdobeFlashPlayer доставляется вредоносный код. Далее следует повышение привилегий, распространение по сети на соседние хосты с подбором паролей и, собственно, шифрование данных с требованием выкупа на биткоин-кошелёк. Антивирусные вендоры достаточно оперативно добавили сигнатуры нового зловреда в свои базы, некоторые заявляют и о детектировании сразу в момент появления эвристическими методами.
Что следует сделать сейчас, чтобы не пополнить число жертв атаки BadRabbit?
- Обновите используемый антивирус.
- Заблокируйте исполнение файла c:\windows\infpub.dat, с:\windows\cscc.dat.
- Запретите (если это возможно) использование сервиса WMI
- Поменяйте пароли на сложные (9 и более символов, с использованием цифр, спецсимволов и сменой регистров).
- Включите блокировку всплывающих окон на хостах пользователей.
- Для проверки защищённости от данных атак рекомендуем проведение бесплатного хелсчека от Softline (предложение действует в случае заключения договора на техническую поддержку систем кибербезопасности)
Если атака уже началась – отключите компьютер от сети и обратитесь в корпоративную службу кибербезопасности или напрямую в Softline.
Чтобы быть готовым к появлению подобных атак рекомендуется следующее:
- Создание системы повышения осведомленности пользователей (все 3 упомянутых вируса-шифровальщика скрываются под легитимные файлы обновлений или документы).
- Мы рекомендуем решение на базе технологий FishMan.
- Подключение к SOC (в дальнейшем для крупных компаний и холдингов создание собственного), что обеспечивает оперативное реагирование экспертного уровня и возможность блокировки начавшейся атаки.
- Создание системы резервного копирования.
- В качестве основы мы рекомендуем продукты следующих производителей: Veritas, HP и Veeam;
- Создание надёжной системы обновления используемого ПО;
- Для проверки установки соответствующих патчей мы рекомендуем системы управления уязвимостями на основе Positive Technologies MaxPatrol.
- Для многих организаций целесообразно создание систем защиты от целевых атак (антиAPT), которые обнаруживают новые ранее неизвестные атаки,
- Мы рекомендуем решения Kaspersky КАТА и CheckPoint SandBlast, а также GroupIB
Полностью убедиться в надёжности защитных мер можно заказав в Softline аудит кибербезопасности вашей компании.