В специализированном структурном подразделении Госцентра киберзащиты и противодействия киберугрозами CERT-UA рассказали подробности вчерашней хакерской атаки в Украине.
Начальное заражение произошло через скомпрометированы веб-сайты и фейковые обновление Flash Player, которое для активации и последующей эксплуатации требовало взаимодействие с пользователем (пользователь должен был подтвердить согласие на установки обновления), – сообщает пресс-служба ведомства.
Но наряду с рассылкой 24 октября 2017 года шифровальщика файлов Locky, который распространялся через фишинговые сообщения и использовал технику DDE, наблюдалась более массовая рассылка шифровальщика файлов Bad Rabbit через скомпрометированы веб-сайты благодаря drive-by download атаке.
Скомпроментированные сайты:
- hxxp://argumentiru[.]com
- hxxp://www.fontanka[.]ru
- hxxp://grupovo[.]bg
- hxxp://www.sinematurk[.]com
- hxxp://www.aica.co[.]jp
- hxxp://spbvoditel[.]ru
- hxxp://argumenti[.]ru
- hxxp://www.mediaport[.]ua
- hxxp://blog.fontanka[.]ru
- hxxp://an-crimea[.]ru
- hxxp://www.t.ks[.]ua
- hxxp://most-dnepr[.]info
- hxxp://osvitaportal.com[.]ua
- hxxp://www.otbrana[.]com
- hxxp://calendar.fontanka[.]ru
- hxxp://www.grupovo[.]bg
- hxxp://www.pensionhotel[.]cz
- hxxp://www.online812[.]ru
- hxxp://www.imer[.]ro
- hxxp://novayagazeta.spb[.]ru
- hxxp://i24.com[.]ua
- hxxp://bg.pensionhotel[.]com
- hxxp://ankerch-crimea[.]ru
Распространение в локальной сети происходило через сканирование внутренней сети на открытость SMB-файлов открытого доступа, а также попыткой использовать протокол HTTP WebDAV, основанный на HTTP и позволяющий использовать Web как ресурс для чтения и записи. Использовался Mimikatz для извлечения учетных данных пользователя из памяти инфицированного ПК. Использовалось легитимное программное обеспечение DiskCryptor для шифрования файлов.
Типы расширений файлов, которые были зашифрованы на ПК пользователя: .3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb
.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c
.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd
.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.
Таким образом, данная атака позволяла злоумышленникам распространять вредоносное программное обеспечение через веб-сайты, даже не взламывая их.
Подробнее читайте на сайте ведомства.
Напомним, как сообщало Инше ТВ, Киевский метрополитен и Одесский аэропорт – в СБУ рассказали об отраженной кибератаке