- Главная - Новости- Bad Rabbit. Как уберечься от атак?

Bad Rabbit. Как уберечься от атак?

Вчера, 24 октября, ряд российских и восточноевропейских компаний столкнулись с новым шифровальщиком по имени «Плохой кролик» (Bad Rabbit). В коде нового шифровальщика замечены фрагменты прежних вредоносных кампаний Neytya и Petya. Однако способ заражения в данном случае выбран не настолько сложный, как ранее. 

Наши специалисты по информационной безопасности подготовили рекомендации. Все наши средства защиты могут бороться с «Плохим кроликом».

На этапе предотвращения угрозы необходимо:

• блокировать ненужные сетевые и DNS-соединения с внешним миром, в том числе с анонимными сетями (Тор и т.п.);
• сегментировать сеть для предотвращения распространения вредоносного кода, если он все-таки попал во внутреннюю сеть, например, на flash-карте;
• устранять уязвимости;
• блокировать использование уязвимости, если её нельзя устранить;
• блокировать доступ пользователей к вредоносным IP-адресам, доменам и URL, в том числе и с мобильных устройств;
• блокировать запуск и функционирование опасных приложений и процессов;
• блокировать распространение вредоносных программ по сети (как на уровне периметра, так и внутри ЛВС);
• внедрить (предварительно проверив способность восстановления) систему резервного копирования.

На этапе обнаружения нужно:

• идентифицировать использование известных уязвимостей (включая и попытки использования дыр);
• детектировать аномальное, нетипичное поведение пользователей;
• анализировать на лету вложения в электронную почту и скачиваемые с Web-страниц файлы, запускаемые скрипты или отображаемые Flash- или иные мультимедиа-ролики и баннеры;
• детектировать обращение к kill switch или иным узлам инфраструктуры злоумышленника в сети Интернет (например, к DGA-доменам) путем анализа DNS-запросов, Web-логов прокси, анализа Netflow и просто изучения TCP/IP-потоков.

На этапе реагирования мы должны:

• ограничить сетевой трафик с зараженных или подозрительных узлов;
• поместить подозреваемые или зараженные узлы в карантин (путем помещения в соответствующую VLAN или блокируя порт на коммутаторе или изменяя ACL на точек доступа или маршрутизаторе), а учетные записи пользователей временно заморозить;
• провести анализ подозрительных файлов в песочнице, а также с помощью иных механизмов;
• отследить траекторию движения вредоносных или подозрительных файлов по сети;
• восстановить данные из резервной копии.

По мнению Александра Перова, начальника отдела информационной безопасности, данный класс вирусов в основном используется в кибер-мошенничестве для вымогательства денежных средств. Обычно после данной атаки и подтверждением её успешности идёт анонимное предложение заплатить за ключ для проведения дешифрации закриптованных данных. Так же данные классы вирусов используют с целью навредить конкуренту или в качестве мести. К сожалению, российские компании кране халатно относятся к вопросам обеспечения информационной безопасности и как правило не имеют в штате специалистов в области ИБ, делегируя данную функцию на системных администраторов.