Хакеры требовали биткойны от государственного ведомства РК

АО «Государственная техническая служба» сообщает, что в одной из организаций квазигосударственного сектора Казахстана обнаружено заражение сети вирусом-шифровальщиком. Для дешифровки злоумышленники потребовали выплату в биткойнах.
Предварительный анализ показал, что организация не соблюдала требований постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» (далее — ЕТ). Таким образом, из всей сети организации злоумышленнику беспрепятственно удалось заразить контроллер домена, три персональных компьютера и файловый сервер. Технические детали расследования инцидента ИБ здесь.
Специалистами было установлено, что один из персональных компьютеров был зашифрован полностью, а системные логи очищены.
Для всех пользователей организации была создана лишь одна учетная запись – «X». С помощью перебора паролей, используя протокол RDP (протокол удаленного рабочего стола от Microsoft), злоумышленник получил доступ к инфраструктуре и удалил антивирусное программное обеспечение на каждой рабочей станции. После удаления антивирусного ПО на все устройства был загружен шифровальщик.
Зашифрованные файлы получили расширение (CW-WL3048625917) и выполнили команды, предназначенные для остановки различных служб и отключения определенных функций в операционной системе Windows, таких как SQL Server, служба виртуальных дисков, служба теневого копирования томов и брандмауэр Windows. В придачу шифровальщик скопировал самого себя в папку для установки в автозагрузки: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\, а в каталогах создал файл unlock-info.txt – текст с требованием выкупа.
Анализ показал, что кибератака, предположительно, была реализована таким образом:
Сотрудниками KZ-CERT были даны следующие рекомендации:
Рекомендации по предотвращению инцидента ИБ
- Осуществить подключение к сети Интернет посредством ЕШДИ.
- Разграничить права пользователей согласно правилам политики управления доступа либо согласно ЕТ.
- Учетные записи пользователей должны иметь достаточные права и привилегии для выполнения повседневных задач без возможности внесения изменений модификации в политике безопасности, прав и привилегий других администраторов.
- В соответствии с п.9.3.2 стандарта СТ РК ISO/IEC 27002-2015 управлением привилегированными правами доступа распределение и использование привилегированных прав доступа должно быть ограничено и управляемо.
- Установить лицензионную операционную систему для серверов и для рабочих станций.
- Закрыть доступы по протоколу RDP.
- Использовать лицензионные средства защиты информации.
- Периодически обновлять операционные системы и прикладное программное обеспечение.
- Регулярно и по мере необходимости осуществлять изменение паролей.
- Настроить журналирование событий в системе обнаружения и предотвращения вторжений.
Рекомендации при наблюдении признаков заражения рабочей станции вирусом-шифровальщиком, которые помогут сохранить часть файлов от шифрования.
- Немедленно, как только проявились первые признаки заражения шифровальщиком, отключить питание рабочей станции.
- Подготовить загрузочный диск вместе с антивирусным ПО.
- Просканировать зараженный диск антивирусными средствами, поместить в карантин найденные вирусы.
- Не выходить на контакт со злоумышленниками.
- Определить тип шифровальщика и воспользоваться сторонними утилитами для дешифрования файлов.
- Если сторонние утилиты не помогли, но зашифрованные файлы представляют критически важную ценность, стоит отправить образцы зашифрованных данных и тело шифровальщика специалистам для проведения ручного анализа. При этом важно не удалять шифровальщик с карантина и не переустанавливать ОС, так как зачастую для генерации ключей шифровальщик использует уникальные идентификаторы ОС или копии вируса.
Рекомендации по снижению ущерба в результате шифрования и уменьшению риска заражения рабочей станции вирусом-шифровальщиком.
- Хранить резервную копию на сетевом хранилище.
- Настроить автоматическое резервное копирование согласно требованиям ЕТ.
- Установить и регулярно обновлять антивирусные средства на рабочих станциях.
Рекомендации для технических специалистов по активному поиску угроз ИБ.
- Отслеживать события, связанные с созданием подозрительных папок или файлов, или запуском таких процессов, как rundll32.exe или regsvr32.exe с использованием winword.exe/excel.exe.
- Проверять подозрительные запуски cscript.exe / wscript.exe, особенно те, которые связаны с сетевой активностью.
- Проверять процессы powershell.exe с подозрительными или обфусцированными (замаскированными) командными строками.
- Анализировать исполняемые файлы и скрипты, помещенные в папку автозагрузки, добавленные в ключи Run или запускаемые с помощью планировщика задач.
- Проверять выполнение sdbinst.exe на предмет подозрительных аргументов командной строки.
- Проверять создание новых ключей в разделе HKLM\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options.
- Проверять, что системы защиты умеют выявлять запросы, характерные для средств дампинга учетных данных, таких как Mimikatz.
- Осуществлять поиск артефактов, характерных для инструментов сетевой разведки, таких как аргументы командной строки AdFind.
- Проверять и выявлять артефакты, связанные с выполнением файлов из необычных мест, таких как %TEMP% или %AppData%.
- Выявлять модификации реестра и брандмауэра Windows, связанные с подключениями по RDP.
- Отслеживать и анализировать соединения по RDP для выявления попытки продвижения по сети.
- Выявлять запуски wmic.exe с использованием подозрительных запросов.
- Проверять, что ваши системы умеют выявлять полезные нагрузки Cobalt Strike Beacon и подобные им инструменты, характерные для пост-эксплуатационных фреймворков (как минимум те, которые запускаются с типичными аргументами командной строки и из типичных мест).
- Отслеживать события создания новых служб, связанных с PsExec, SMBExec и другими средствами двойного назначения или инструментами тестирования на проникновение (пентест).
- Отслеживать исполняемые файлы, замаскированные под общие системные файлы (такие как svchost.exe), но имеющие аномальные родительские файлы или местоположение.
- Отслеживать признаки несанкционированного использования инструментов удаленного доступа в вашей сети.
- Отслеживать события установки клиентов облачных хранилищ и события доступа к облачным хранилищам и проверять, являются ли они легитимными.
- Отслеживать распространенные FTP-программы на конечных хостах для выявления событий установки файлов с вредоносными конфигурациями.
Напомним, что для минимизации рисков атак вредоносных программ и программ-вымогателей KZ-CERT опубликовал материалы на официальном интернет-ресурсе — https://www.cert.gov.kz/news/13/2057