9:58
16/1/2022

Na komputerach wielu organizacji non-profitowych i rządowych w Ukrainie, ale także w sieciach firm prywatnych, właśnie odkryto nowe złośliwe i destrukcyjne oprogramowanie. Udaje atak ransomeware, czyli szyfruje dane, ale nie umożliwia ich odszyfrowania. To jest tzw. wiper.

Tak wyglądały sklepy 5 lat temu, kiedy Ukraina padła ofiarą innego wipera, (Not)Petya

Zaczęło się w piątek

Aktywność nowego malware dziś w nocy opisał Microsoft. Analitycy poinformowali, że są świadomi sytuacji geopolitycznej w Ukrainie, ale nie wskazali, kto stoi za atakiem. Póki co w próbkach Microsoft nie rozpoznał niczego, co mogłoby wiarygodnie powiązać je z jakąś znaną grupą cyberprzestępców lub służbami konkretnego kraju. Atakującym nadano identyfikator DEV-0586.

Oto komunikat wyświetlany przez tego wipera:

Your hard drive has been corrupted.
In case you want to recover all hard drives
of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via
tox ID 8BEDC411012A33BA34F49130D0F186993C

6A32DAD8976F6A5D82C1ED23054C057EC

ED5496F65
with your organization name.
We will contact you to give further instructions.

Wiele wskazuje, że to o właśnie o działaniach tego wipera wspominały wczoraj ukraińskie służby, które po analizie piątkowych podmian 10 rządowych stron internetowych oświadczyły, że miały one być “zasłoną dymną dla innych, poważniejszych ataków”.

Dlaczego to istotne dla polskich firm?

Opisana przez Microsoft sytuacja bardzo przypomina tę z 2017 roku, kiedy Ukraińskie firmy oberwały wiperem Petya/NotPetya — a przez połączenia z polskimi oddziałami ucierpiało też wiele firm w naszym kraju.

Ataki w Ukrainie zaczęły się w piątek, teraz mamy weekend. Po infekcji, do uruchomienia złośliwych instrukcji dochodzi dopiero po wyłączeniu urządzenia, więc problem może się nasilić w poniedziałek, po ponownym uruchomieniu kolejnych stacji roboczych.

Dlatego mocno sugerujemy, aby wszystkie firmy i organizacje z Polski, które są połączone wirtualnie ze swoimi oddziałami/partnerami/podwykonwcami zlokalizowanymi w Ukrainie:

  • Zapoznały się z publikacją Microsoftu i wdrożyły rekomendacje pomagające zmniejszyć ryzyko infekcji tym wiperem. A także zrozumiały, że w tym przypadku zapłata okupu nie przyniesie żadnych korzyści. Jako dodatkową lekturę, polecamy ten poradnik od Mandianta.
  • Zweryfikowały na wszelki wypadek swoje procedury backupowe, zaktualizowały politykę BCP i były gotowe do restore systemów,
  • Odświeżyły wiedzę pracowników w zakresie rozpoznawania ataków ze złośliwym oprogramowaniem.
     
Tu pomóc mogą nasze lekcje poświęcone atakom socjotechnicznym i złośliwemu oprogramowaniu, pochodzące z niebezpiecznikowego, internetowego szkolenia Cyberbezpieczeństwo Dla Firm (możemy Wam udostępnić tylko te dwie lekcje, z dostępem na naszej platformie VOD, żeby było taniej i szybciej — dajcie znać jeśli chcecie).

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet w naszym internetowym sklepie.

16 komentarzy

Dodaj komentarz
  1. Administruję serwerem MS Office365. Pomimo wymuszonego MFA kilka kont w logach pokazuje poprawne zalogowanie jednoskładnikowe. Adresy wskazują na Chiny, Rosję, USA, Brazylię, UA, BY, PL. To przypadki z dziś. Oczywiście po zablokowaniu kont logowanie jest nieudane. Wygląda to tak jakby ktoś odkrył i wykorzystywał lukę pozwalającą na omijanie MFA.

    • Może chodzi o samo pomyślne uwierzytelnienie pierwszym składnikiem, a niekoniecznie udane logowanie, hmm, bo jako użytkownik chciałbym wiedzieć że ktoś próbuje się logować i zna moje hasło, ale zablokowało go 2fa

    • Uwielbiam microsoft wlasnie za to, ze pozwalają okradac swoich klientow, dzieki temu brakuje specjalistow

  2. @Marian: Kop głębiej! Prawdopodobnie masz w miarę starego tenanta i włączone IMAP / POP3 / Client SMTP –> tam nie ma MFA. I nawet jeżeli na poczcie zablokujesz możliwość logowania poszczególnym użytkownikom to wciąż możesz mieć włączone protokoły na poziomie organizacji.
    @Sławomir: Nie pozwalają. W nowszych (tak roku?) subskrypcjach to jest domyślnie zablokowane, ale kto zabroni adminowi odblokować? W starszych instalacjach / dzierżawach admin musi sam o to zadbać – nie wyobrażam sobie żeby MI (!) Microsoft coś grzebał na MOJEJ dzierżawie. Microsoft podpowiada różnymi wiadomościami … ale który admin to czyta? Albo któremu chce się o to zadbać? (przykład masz powyżej – nawet logów nie przejrzał). Niedługo przejście na modern auth co zablokuje logowanie jakie widzi w logach Marian … tylko to jest przekładane już chyba od 2 lat bo ciągle klienci protestują.

  3. […] specjalistyczny portal Niebezpiecznik wskazuje, że „opisana przez Microsoft sytuacja bardzo przypomina tę z 2017 roku, kiedy […]

  4. Po co żądać pieniędzy, a nie odszyfrowywać potem plików? Przecież nikt nie wpłaci okupu wiedząc, że nie otrzyma z powrotem swoich danych.

    • a kogo pociągniesz do odpowiedzialności? Chodzi o taktykę “z terrorystami nie negocjujemy” i liczenie na to, że proceder wymrze śmiercią naturalną.

  5. i były gotowe do restore systemów

    Będę wdzięczny jak to następnym razem po polsku napiszecie..

    • @Purysta
      Czyli jak? Odrestaurowania systemow? Odtworzenia ale nie niereprodukcji?
      Jak to poprawnie powiedziedz po polsku – tylko z linkami do odpowiednich materialow (slowniki pwn, encyklopedie, etc.) czyli generalnie czyms co pozwoli stwierdzic ze mamy doczynienia z prawdziwym konceptem jezykowym (znanym i rozumianym w podobny sposob) raczej niz jakas fabrykacja wyssana z palca przez ciebie czy ktoregos z twoich kolegow…

  6. @WkurzonyBialyMis90210

    i były gotowe do przywrócenia systemów?

    • Meh. Jest roznica w zrodle:
      Przywraca się raczej coś (np. stan)
      “Restoruje” się raczej skądś
      Przywrócenie to bylby raczej reSet niz reStore.

      I nie podales zrodel. Skad mamy wiedziec ze “przywrócanie” nie funkcjonuje w swiecie jako jakas forma nawracania logistyczno-teologicznego? Gdzie uzywajac go do czegokolwiek innego tylko namieszamy ludziom w glowach ;)

      No i nie jestes purysta :p czytajac moj post uwazniej zauwazylbys, ze jest on proba wyprowadzenia go z bledu raczej niz pobierznego zalatania tej jednej “instancji” jezykowej dziury.

    • pobieŻnego, kulfa… ;))

    • A przy okazji, ostatnio czytalem jakis artykul o tym jak polonistka jezdzila po dyslektycznym dzieciaku, i dopie* sie do takich absolutnych pierd*ł jak to jakim zdaniem zaczyna sie rozprawke(?) itp… gdzie nie dosc ze jest to jakas durna vestigialna regula (slownik PL mowi “szczatkowe”, ale w polskim odpowiedniku brakuje tendencji, tutaj zanikania ~ moze to jakas forma walki z “teoria” ewolucji…) w formie literackiej ktorej ten chlopak NIGDY W ZYCIU NIE UZYJE (i nie zdziwilbym sie gdyby jedyne osoby z niego korzystajace to byli polonisci oraz +/- literaci) a tlumaczenia podstawowych pojec i konceptow w dziedzinach PRAWDZIWYCH nauk brak…

      Ps. I zeby niebylo, o ile nauki humanistyczno-jezykowe to prawdziwa nauka do tego trudna i wazne to polonistyka powoli zamienia sie w dziedzine wiedźm i wrózbiarek, z tymi ich rytualami oraz magiczna sila pradawnych formacji slownych… Patologia…

    • @Krzysztof,
      > pobieŻnego, kulfa… ;))

      Mam rozumiec ze w ten sposob stwierdzasz, ze w pozostala czesc mojego komentarza jest poprawna jezykowo pod kazdym wzgledem? Ja tam widze od zatrzesienia bledow, ale skoro Krzysztof uwaza, ze jest ok…

      Ps. Pozwolilem sobie rozwinac “;))” dla ludzi nie zorientowanych w wspolczesnym jezyku:
      > pobieŻnego, kulfa… {a tutaj sobie wstawie emotke usmiechnietej mrugajacej buzi, w ten sposob zaciekle wbijana szpila to juz nie jest gramatyczny-nazizm tylko figlarny prztyczek}
      :p

  7. Czy wiadomo czy jakieś polskie firmy również ucierpiały w tych atakach?

  8. […] Wiadomo jedynie, że nie są to włamania i podmiany stron lub szyfrowanie zawartości serwerów, co miało miejsce miesiąc temu i w co próbowano wrobić Polaków, a “zwyczajne” ataki DDoS, czyli zalewanie serwerów […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: