Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 39
Интересно, то, с какой легкостью происходит захват всей инфраструктуры-это особенность Windows систем, или это удобный вектор атаки? В том смысле, что может ли массовый переход на Linux обезопасить компанию от таких атак?
В случае целенаправленной атаки никакой Linux вас не защитит. 0day еще никто не отменял.
Как я понимаю, Windows система с шифрователем может вполне успешно зашифровать файлы на расшаренных сетевых папках вне зависимости от архитектуры систем, на которых эти ресурсы находятся. А если подключены диски для бэкапов-ещё и бекапы зашифровать. Получается, что наличие Windows в такой среде само по себе угроза безопасности?
Наличие кривых рук — это сама по себе угроза безопасности. Шифруется все на что хватает прав пользователя, если права админские, то шифруется сильно больше и проще с доступом. Если бэкапы лежали просто на файлошаре, просто файлами с доступом только для админов — да они тоже зашифруются.
Но в данном случае была тагретированная атака с основательной подготовкой. Тут уже не особо важно, винды там были, или что то другое.
Но в данном случае была тагретированная атака с основательной подготовкой. Тут уже не особо важно, винды там были, или что то другое.
Ну тогда невыполнение требований шантажа-это гарантия того, что эти усилия были потрачены впустую. Но то, что эти атаки не прекращаются означает что они все еще выгодны.
На чём основано утверждение о таргетированной атаке? Разве просто в сети кто-то из пользователей не мог открыть пришедшее по e-mail сообщение с вредоносным ПО, что привело к распространению?
На это намекает обращение "по имени" в требовании выкупа. А также и название компании в расширении зашифрованых файлов.
Увидел. Но, считаю, что это не очень-то однозначно указывает на адресную атаку. Действительно адресная — это когда письма с конкретным предложением выкупа идут сразу конкретным лицам, принимающим решения, хотя бы с некоторыми подробностями (например, сколько техники поражено, сколько на этом можно потерять денег), а не просто с названием из одного слова. А здесь очевидно, что даже секретаря в компании уговорить бы не смогли.
Так я же не говорил, что однозначно указывает. Намекает. Но ещё более на это намекает масштаб произошедшего. Просто что бы так вот полегла буквально вся инфраструктура (включая сайты, которые как правило ну как-то обособленно отстоят) из-за того, что какой-то рядовой пользователь открыл вложение в почте… Ну это надо иметь крайне не компетентный ИТ-отдел плюс какое-то просто фатальное невезение. Хотя я не исключаю и такой вариант конечно.
А вот по письмам конкретным лицам не соглашусь пожалуй. Поставьте себя на место взломщика. Вы им положили вообще всё. Уже никакие письма никуда не дойдут и никто их не прочитает. Это первое. А второе это факт, что «конкретные лица, принимающие решения» имеют такое свойство не читать почту. Или читать, но успешно класть болт на свои обязанности. Мы на Хабре тут часто имеем удовольствие читать посты как кто-то нашел у кого-то дыру, отправил письмо ответственным лицам, а результат как в чёрную дыру. А так рядом с каждым файликом зашифрованным текстовик положил и точно все увидят — и ответственные и не очень, а так же и те кто потом ответственных иметь будет. Ну а масштаб произошедшего и возможные потери они и сами оценят.
А вот по письмам конкретным лицам не соглашусь пожалуй. Поставьте себя на место взломщика. Вы им положили вообще всё. Уже никакие письма никуда не дойдут и никто их не прочитает. Это первое. А второе это факт, что «конкретные лица, принимающие решения» имеют такое свойство не читать почту. Или читать, но успешно класть болт на свои обязанности. Мы на Хабре тут часто имеем удовольствие читать посты как кто-то нашел у кого-то дыру, отправил письмо ответственным лицам, а результат как в чёрную дыру. А так рядом с каждым файликом зашифрованным текстовик положил и точно все увидят — и ответственные и не очень, а так же и те кто потом ответственных иметь будет. Ну а масштаб произошедшего и возможные потери они и сами оценят.
Первое я в своё время почти воочию наблюдал сам (шифрование файлов на сервере с компа пользователя через сетевой диск после открытия вложения в электронную почту), но там из-за небольших масштабов, разграничения прав и таки отдельных веб-сервисов удалось избежать серьёзных проблем, а бэкапы помогли разобраться с остальным. Будь такая атака заказной, злоумышленники только зря потеряли бы деньги; никто даже не попытался спросить у них сумму. Склонен таки полагать, что мы были далеко не одни.
А по второму — если взлом заказной, вряд ли преступнику обязательно класть всё сразу и тем самым поднимать шум, привлекая внимание в т. ч. к себе, что может потом плохо кончиться. Да и компании наверняка выгоднее решить вопрос по-тихому.
А по второму — если взлом заказной, вряд ли преступнику обязательно класть всё сразу и тем самым поднимать шум, привлекая внимание в т. ч. к себе, что может потом плохо кончиться. Да и компании наверняка выгоднее решить вопрос по-тихому.
Вы не забывайте, что Garmin контора не маленькая. Бывают данные которые просто невозможно бэкапить из-за их количества.
При должных ресурсах количество не будет иметь значения. А вот актуальность бэкапа при частом обновлении этих данных — может. Но вообще цель бэкапа — не поддержание актуальности данных, а обеспечение возможности аварийного восстановления; часть данных с момента бэкапа до аварии, скорее всего, потеряется.
Зря минисуют, это только в России волевым решением можно забекапить хоть весь интернет на полгода, в крупных компаниях это достаточно не тривиальная задача. Да и в Garmin я не думаю что прям все все зашифровали, зашифровали часть важных данных, бекапы попортили.
А чем ленточное хранилище хуже?
Важные данные можно пару раз в неделю записывать на ленту и хранить в сейфе последние несколько недель/месяцев.
Так сказать физический барьер.
Важные данные можно пару раз в неделю записывать на ленту и хранить в сейфе последние несколько недель/месяцев.
Так сказать физический барьер.
Так, может, это всё уже есть. Вопросы в том, сколько времени потребуется для аварийного восстановления данных в достаточном для возобновления работы объёме, и какая часть данных при этом будет потеряна. Если речь идёт об интернете вещей (а у Garmin, как я понимаю, часть функционала многих устройств и мобильных приложений завязаны на серверы), данные же от пользователей вообще практически постоянно на серверы приходят.
На какое-то время, думаю, может. Но в случае роста популярности Linux-систем на предприятиях и дома, скорее всего, соответствующие зловреды появятся и для таких систем. Поэтому для противодействия такого рода атакам нужно специально готовить все корпоративные сети, чтобы объём поражения не был очень значительным и (главное) не побуждал поражённых платить преступникам деньги.
есть информация от пути проникновения? Т.е. используют какую-нибудь уязвимость и т.п.?
/update:
если правильно понял статью:
www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates
Пытаются убедить запустить «обновление»?
Но какой админ это сделает?
/update:
если правильно понял статью:
www.bleepingcomputer.com/news/security/new-wastedlocker-ransomware-distributed-via-fake-program-updates
Пытаются убедить запустить «обновление»?
Но какой админ это сделает?
Или ч чего-то не понимаю, или видно все же смогли убедить админа, а иначе как объяснить такую высокую скорость распространения в компании? Или у них все под админами работали? Тогда вы правы, даже linux не поможет, если они и там под root'ом все работать будут.
При развертывании внутри атакуемой сети вирус шифрует данные на файловых серверах, атакует БД-сервисы, виртуальные машины и облачные среды, нарушает работу приложений для резервного копирования и связанной с ними инфраструктуры, включая удаление резервных копий, чтобы максимально затруднить восстановление информации для пострадавших компаний.Не верю я, что вирус-шифратор, вот прям весь такой их коробки с столь широким функционалом.
Куда более правдоподобно, что у злодеев появился шелл в систему и они смогли получить права админов предприятия, или доступы к сейфу паролей. Потом явно был анализ систем, что бы найти все по максимуму, затем подготовка атаки с учетом того, какие базоводы и на каких системах используются, какая виртуализация, какое решение для резервного копирования.
И только после всего этого, в час Х запускается задача которая параллельно начинает уничтожать все сразу.
Либо в ИТ гармина было все настолько плохо, что все подряд сидят по админом предприятия, и бэкапят на файлошару непонятно чем.
Не верю я, что вирус-шифратор, вот прям весь такой их коробки с столь широким функционалом.MalwareBytes так и пишет:
The attacks performed using WastedLocker are highly targeted at very specific organizations. It is suspected that during a first penetration attempt an assessment of active defenses is made and the next attempt will be specifically designed to circumvent the active security software and other perimeter protection.
На это как бы намекает адресное послание в txt
Может, я и ошибаюсь, но это не то чтобы очень показательно. Так можно назвать и рабочую группу компа, например. Адресно могли бы и поподробнее что-нибудь написать.
Спросить как дети учатся и все ли хорошо с здоровьем?
Мыло что бы прислали тестовый файл для доказательство что расшифровать можно и биткоин кошелек, что бы бабло закинули. Больше можно ничего не писать. Если они ценник озвучили, то точно знали что бэкапов нет, и все зашифровано. С тебя не будут просит миллионы баксов, если не уверены что у тебя там пипец пипец.
Мыло что бы прислали тестовый файл для доказательство что расшифровать можно и биткоин кошелек, что бы бабло закинули. Больше можно ничего не писать. Если они ценник озвучили, то точно знали что бэкапов нет, и все зашифровано. С тебя не будут просит миллионы баксов, если не уверены что у тебя там пипец пипец.
Как вариант, написать несколько конкретных фамилий с должностями с просьбой передать информацию. И именно высокопоставленных лиц, которых атака сильнее всего затронет. Тогда это точно скажет о том, что атака целенаправленная. А сумма в текстовиках не указана, только адрес, куда обратиться, чтобы узнать размер — как у классических шифровальщиков-вымогателей. И утверждения неназванных источников с указанием суммы только намекают на то, что этой суммой кто-то интересовался, контактируя со злоумышленниками.
Последнее тоже встречается, особенно если крупная компания объединяет в себе множество мелких, в каждой из которых свои айтишники и свои правила.
Удивительно, что акции Garmin почти не отреагировали.
Я бы задумался над будущем компании с такой уязвимой инфраструктурой…
Я бы задумался над будущем компании с такой уязвимой инфраструктурой…
Я бы даже сказал по другому: «над будущем компании с уничтоженной инфраструктурой». Т.к. одно дело иметь уязвимую инфраструктуру но всё таки иметь (пока). А другое дело уже не иметь никакой. Что мы сейчас по факту и наблюдаем (хотя по их мониторингу что-то вроде начало подниматься). Сейчас большой вопрос смогут ли они вообще оправится после этого.
Я сталкивался с подобной атакой, только в моем случае был wannacry. К сожалению если попадается достаточно «высокоправный» пользователь от подобных вирусов сложно защитится, чаще всего это ошибка пользователя. «wannacry» пришел в нашу сеть по почте, пользователь нажал на ссылку и понеслось, сетевой диск был зашифрован. Полноценной резервной копии не было ( происходила миграция со старого домена на новый, подымался новых почтовый сервер и прочие сервисы) резервное копирование еще не было настроено… к счастью, временный вариант, shadowcopy, был включен на файловом сервере, именно он и спас. История закончилась хорошо… Файлы на сетевом диске полностью восстановили из копии, несколько компьютеров пришлось форматнуть, но в целом ничего особо важного не потерялось. На все про все ушел день.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Издание BleepingComputer опубликовало подробности об атаке вируса-вымогателя на Garmin