Bad Rabbit - атака на корпоративные сети

Как и предполагали многие эксперты, после эпидемий Wannacry и ExPetya, новая атака вирусов-шифровальщиков не заставила себя долго ждать.

Атаковавший сегодня корпоративные сети шифровальщик Bad Rabbit проявляет себя похожим образом. После неизвестного по длительности «инкубационного периода» и распространения в корпоративной сети с помощью брутфорс-атак на компьютеры с ОС Windows, в «час Ч» происходит активация функций шифрования файлов и на экран компьютера выводится сообщение вымогателей.

Целенаправленной атаке подверглись сайты российских СМИ - для распространения вредоносного приложения с их помощью. Скорее всего, сам вирус создан с помощью одного из распространенных на черном рынке хакеров набора "сделай сам", на основе известных уязвимостей для распространения вируса и модуля шифрования. После эпидемии Wannacry подобное хакерское ПО пользуется большой популярностью и его разработкой, как бизнесом, занимаются большие группы злоумышленников.

Взломанные сайты распространяют Bad Rabbit, маскирующийся под обновления Adobe Flash Player.

Можно порекомендовать ИТ и ИБ-службам организаций напомнить пользователям о правилах цифровой гигиены: не устанавливать неизвестное ПО (даже если это обновление) без участия системных администраторов, не открывать вложенные файлы в почтовом клиенте, полученные от неизвестных отправителей. Даже если в тексте письма присутствуют ссылки на сотрудников или руководителей вашей организации. Злоумышленникам очень легко получить информацию об электронной почте, руководстве организаций, бухгалтерских, продающих и HR-подразделениях, с помощью анализа открытых источников (сайта организации и др. порталов).

Сигнатуры вирусов уже появились в базах используемого в Ideco ICS антивируса Касперского. Мы постараемся в ближайшее время добавить механизмы блокировки трафика Bad Rabbit и используемых им эксплойтов в правила системы предотвращения вторжений.

Рекомендации по защите сети

Если вы уже являетесь нашим клиентом и используете в качестве средства защиты сетевого периметра Ideco ICS, воспользуйтесь данными рекомендациями, чтобы обеспечить максимальную защиту на интернет-шлюзе.

Если вы не являетесь нашим клиентом и чувствуете, что защитных средств используемого вами ПО или аппаратных средств недостаточно, вы можете скачать и установить бесплатную 30-дневную пробную версию Ideco ICS и воспользоваться ее мощным арсеналом защиты от современных угроз. Пробная версия включает в себя все функции шлюза, включая модуль антивируса Касперского. Для малого бизнеса (до 40 устройств в сети, подключенных к интернет) в мае этого года мы представили специальную редакцию шлюза безопасности - Ideco SMB, базовые модули в ней абсолютно бесплатны, а дополнительные функции предоставляют администратору весь арсенал средств защиты, доступный обычно только компаниям уровня Enterprise.

Сервер Ideco ICS основан на ядре Linux, все порты на внешних интерфейсах всегда закрыты, поэтому сам он устойчив к атакам, использующим сетевые уязвимости, с помощью которых распространяется Petya, WannaCry и Bad Rabbit. Технология NAT и межсетевой экран защищает все сетевые устройства от непосредственных подключений извне. Однако вирус может использовать различные варианты распространения в защищенные сети (электронная почта, фишинговые и зараженные сайты, флеш-диски, а также может быть принесен сотрудниками вместе с используемыми в других сетях ноутбуками).

Обязательно проинформируйте пользователей об опасности установки ПО с интернет-сайтов, в том числе обновлений Adobe Flash Player.

Настройка Ideco ICS

• Защита периметра сети в период эпидемии должна быть максимально эффективной:
  Обновите шлюз безопасности Ideco ICS до актуальной версии 7.3.0, так вы получите максимальный эффект от описанных ниже действий по настройке системы безопасности.
• Включите на Ideco ICS систему предотвращения вторжений.
  Как минимум активируйте следующие группы правил системы: "Запросы на скомпрометированные ресурсы", "Чёрный список IP-адресов", "SSL-сертификаты используемые вредоносным ПО и ботнетами", "Блокирование активности троянских программ", "Вирусы WannaCry и Petya". Блокировка ресурсов из этих категорий поможет заблокировать командные центры вируса, и зараженные системы не смогут получать команды на срабатывание, обмениваться ключами для зашифровки файлов, передавать информацию с зараженных компьютеров злоумышленникам, а также будут блокированы уязвимости SMB-протокола Windows.
  Рекомендуется активировать все группы правил системы предотвращения вторжений, в случае ложных срабатываний правила можно добавить в исключения системы.
• На Ideco ICS включите антивирусы веб-трафика. Рекомендуется использовать антивирус Касперского, но, если ваша лицензия это не позволяет, включите антивирус ClamAV.
  Потоковая проверка веб-трафика на вирусы позволяет заблокировать угрозы еще до их проникновения на рабочие компьютеры.
• С помощью расширенного контент-фильтра заблокируйте для всех пользователей следующие категории сайтов: ботнеты, центры распространения вредоносного ПО, фишинг/мошенничество.
  Либо аналогичные категории стандартного контент-фильтра, но он менее эффективен для защиты для новых угроз.

Если ваша редакция не позволяет использовать данные модули, вы можете обратиться в наш отдел продаж, и менеджеры оперативно предоставят вам тестовый период для них и даже до оплаты вы сможете обеспечить максимальную защиту и проверку потокового трафика.

Защита конечных устройств

• Убедитесь, что антивирусное ПО на всех компьютерах установлено, работает и использует актуальные базы сигнатур
• Сделайте бекапы важной информации и баз данных или проверьте их актуальность. Храните бекапы на не подключенных к сети носителях.
• Запретите (если это не повлияет на критичные сервисы) использование WMI на компьютерах и серверах с Windows.
• Сегментируйте сеть: выделите финансовый отдел (бухгалтерию, экономистов) в отдельный физический или логический сетевой клиент и заблокируйте связь между сегментами межсетевым экраном (как минимум закройте порты 1024-1035, 135 и 445 TCP).

Если вы используете Windows в качестве интернет-шлюза

Мы настоятельно не рекомендуем использовать любые версии Windows на серверах, подключенных непосредственно к Интернету. Волны масштабных вирусных атак будут продолжаться, и, даже если вы не были затронуты ни прошлой, ни нынешней эпидемией, в следующий раз удача может изменить вам. Заражение подобным WannaCry, Petya, Bad Rabbit вирусом интернет-шлюза практически неизбежно приведет к заражению всех хостов сети, потерям коммерческой и деловой информации, а также репутационным потерям в связи с возможным участием в распространении вирусов с помощью электронной почты вашим партнерам, DoS-атакам на правительственные и государственные сети и прочим неприятностям, связанным с участием в бот-сетях злоумышленников.