Данные, полученные с помощью вируса Petya, злоумышленники могут использовать для новой атаки.
Служба безопасности Украины предупреждает о возможной новой кибератаке на сети украинских учреждений и компаний.
Об этом сообщили на официальном сайте СБУ.
СБУ напоминает об атаке 27 июня вирусом Petya и отмечает, что ей предшествовал сбор данных о предприятиях (электронные почты, пароли к учетным записям, реквизиты доступа к командно-контрольных серверов и хэш-данные учетных записей пользователей) с последующим их сокрытием в файлах cookies и отправлением на командный сервер.
"Специалисты СБУ предполагают, что именно эта информация и была целью первой волны кибератаки и может быть использована настоящими инициаторами как для проведения киберрозведки, так и в целях дальнейших деструктивных акций", – говорится в сообщении.
Об этом свидетельствует обнаруженная во время исследования предыдущей кибератаки утилита Mimikatz (инструмент, который реализует функционал Windows Credentials Editor и позволяет получить високопривилегированные аутентификационные данные из системы в открытом виде). Утилита использует архитектурные особенности службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена. Работа службы Kerberos базируется на обмене и верификации так называемых билетов доступа (TGT-билетов). В регламентах по информационной безопасности большинства учреждений и организаций смена пароля пользователя krbtgt не предусмотрена.
Таким образом у злоумышленников появилась возможность генерации условно бессрочного TGT-билета, выписанного на идентификатор администратора системы. При этом в условиях отключения скомпрометированной учетной записи, аутентификация по Kerberos будет легитимной и будет восприниматься системой. Для подгрузки TGT-билета в адресное пространство операционной системы root-полномочия не нужны.
СБУ рекомендует системным администраторам организаций и фирм в ближайшем времени сделать следующее:
- осуществить обязательную смену пароля доступа пользователя krbtgt;
- осуществить обязательную смену паролей доступа ко всем без исключения учетным записям в подконтрольной доменной зоне ИТС;
- произвести смену паролей доступа к серверному оборудованию и программам, которые функционируют в ИТС;
- на выявленных скомпрометированных ПЭВМ осуществить обязательную смену всех паролей, которые хранились в настройках браузеров;
- повторно произвести смену пароля доступа пользователя krbtgt;
- перезапустить службы KDC.
Также СБУ советует в дальнейшем избегать сохранность аутентификационных данных в открытом виде и использовать для этих целей специализированное программное обеспечение.
Напомним, 8 августа об ответную кибератаку заявили в "Укрпочте". "Уже вторые сутки сайт Укрпочты находится под атакой, которая более всего нацелена на сервис отслеживания", – сообщила компания.
В свою очередь, в Cisco пришли к выводу, что Petya был запущен не с целью получения денег, а для уничтожения файлов.
Эксперты Киберполиции сообщали о возможности последующей масштабной атаки еще 20 июля.