«Мемлекеттік техникалық қызмет» АҚ Қазақстанның квазимемлекеттік секторы ұйымдарының бірінде желінің шифрлаушы вируспен зақымдалғаны анықталғанын хабарлайды. Шифрді ашу үшін зиянкестер ақысын биткойнмен төлеуді талап еткен.

Алдын ала талдау ұйым  «Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарды бекіту туралы» (бұдан әрі-БТ) Қазақстан Республикасы Үкіметінің 2016 жылғы
20 желтоқсандағы № 832 қаулысының талаптарын сақтамағанын көрсетті. Сонымен, ұйымның барлық желісінен зиянкес домен контроллерін, үш дербес компьютер мен файлдық серверді кедергісіз зақымдаған. АҚ инцидентін тексерудің техникалық егжей-тегжейліктері осы жерде .

Мамандар дербес компьютерлердің біреуі толық шифрланғанын, ал жүйелік логтар тазартылғанын анықтады.

Ұйымның барлық пайдаланушылары үшін бір ғана есептік жазба жасалған – «X». Зиянкес RDP хаттамасын (Microsoft қашықтағы жұмыс үстелінің хаттамасы) пайдалана, парольдерді теру арқылы инфрақұрылымға қолжетімділік алып, әрбір жұмыс станциясындағы вирусқа қарсы бағдарламалық қамтылымды жойған. Вирусқа қарсы БҚ жойылғаннын кейін барлық құрылғыларға шифрлаушы жүктелген.

Шифрланған файлдар кеңейту (CW-WL3048625917) алып, Windows операциялық жүйесінде SQL Server, виртуалды дискілер қызметі, Windows томдарын көлеңкелі көшіру қызметі мен брандмауэр сияқты түрлі қызметтерді тоқтатуға және белгілі функцияларды ажыратуға арналған командаларды орындаған. Оған қоса шифрлаушы өзін өзі орнату папкасындағы автоматты жүктеулерге көшірген:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\, ал каталогтарда unlock-info.txt файлын құрған – өтеп алу талап етілген мәтін. 

KZ-CERT қызметкерлері мынадай ұсынымдар берді:

АҚ инцидентін жою жөніндегі ұсынымдар

1. Интернет желісіне ИҚБШ арқылы қосылуды жүзеге асыру.
2. Қолжетімділікті басқару саясаты қағидаларына немесе БТ-ға сәйкес пайдаланушылардың құқықтарын бөлу.
3. Пайдаланушылардың есептік жазбалары қауіпсіздік саясатына, басқа әкімшілердің құқықтары мен артықшылықтары түрленімдеріне өзгерістер енгізу мүмкіндігінсіз, күнделікті міндеттерді орындау үшін жеткілікті құқықтар мен артықшылықтарға ие болуы тиіс.
4. ҚР СТ ISO/IEC 27002-2015 стандартының артықшылықты қол жеткізу құқықтарын басқару бойынша 9.3.2-тармағына сәйкес артықшылықты құқықтарды бөлу мен қолдану шектелген және басқарылатын болуы тиіс.
5. Серверлер мен жұмыс станциялары үшін лицензияланған операциялық жүйені орнату.
6. RDP хаттамасы бойынша қол жеткізулерді жабу.
7. Лицензияланған ақпаратты қорғау құралдарын пайдалану.
8. Операциялық жүйелер мен қолданбалы бағдарламалық қамтылымды мерзімді жаңарту.
9. Парольдерді жаңартуды үнемі және қажеттілікке қарай жүзеге асыру.
10. Басып енулерді айқындау және болдырмау жүйесінде оқиғаларды журналдауды баптау.

Жұмыс станциясының шифрлаушы вируспен зақымдалу белгілері байқалған кезде файлдардың бөлігін шифрлаудан сақтауға көмектесетін ұсынымдар.

1. Шифрлаушымен зақымдалудың бірінші белгілері көріне басталсымен дереу жұмыс станциясының қуатын ажырату.
2. Вирусқа қарсы БҚ-мен бірге жүктеу файлын дайындау.
3. Зақымдалған дискіні вирусқа қарсы құралдармен сканерлеу, табылған вирустарды карантинге орналастыру.
4. Зиянкестермен байланысқа шықпау.
5. Шифрлаушының түрін анықтау және файлдардың шифрін ашу үшін сыртқы утилиталарды пайдалану.
6. Егер сыртқы утилиталар көмектеспесе, бірақ шифрланған файлдардың құндылығы аса маңызды болса, шифрланған деректердің үліглері мен шифрлаушының денесін мамандарға қолмен талдау жүргізу үшін жіберген дұрыс. Бұл ретте шиярлаушы кілттерді жасап шығару үшін жиі жағдайда ОЖ бірегей сәйкестендіргіштерін немесе вирустың көшірмелерін пайдаланатыны себепті,  шифрлаушыны карантиннен жоймаған және ОЖ-ны қайта орнатпаған маңызды.

Шифрлау нәтижесінде келтірілетін нұқсанды және жұмыс станциясының шифрлаушы вируспен зақымдалу тәуекелін азайту жөніндегі ұсынымдар.

1. Резервтік көшірмені желілік қоймада сақтау.
2. БТ талаптарына сәйкес автоматты резервтік көшіруді баптау.
3. Жұмыс станцияларында вирусқа қарсы құралдарды орнату және үнемі жаңарту.

Техникалық мамандарға арналған АҚ қатерлерін белсенді түрде іздеу жөніндегі  ұсынымдар.

1. Күдікті папкалардың немесе файлдардың жасалуына, не exe/excel.exe пайдаланылған rundll32.exe немесе regsvr32.exe сияқты процестердің іске қосылуына байланысты оқиғаларды қадағалау.
2. Күдікті cscript.exe / wscript.exe, әсіресе, желілік белсенділікке байланысты іске қосылуларды тексеру.
3. Күмәнді немесе обфускация жүргізілген (жасырылған) командалық жолдары бар powershell.exe процестерін тексеру.
4. Автоматты жүктеу папкасында орналастырылған, Run кілттеріне қосылған немесе міндеттерді жоспарлаушының көмегімен іске қосылып орындалатын файлдар мен скрипттерді талдау.
5. exe орындалуын командалық жолдың күдікті дәлелдері тұрғысынан тексеру.
6. HKLM\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options бөлімінде жаңа кілттердің жасалуын тексеру.
7. Қорғау жүйелері есептік деректердің Mimikatz сияқты дампинг құралдарының өзіндік сұрау салуларын айқындай алатынын тексеру.
8. Желілік барлау құралдарының AdFind командалық жолының дәлелдері сияқты өзіндік артефактілерін іздеуді жүзеге асыру.
9. %TEMP% немесе %AppData% сияқты қалыпты емес орындардан файлдардың орындалуына байланысты артефактілерді тексеру мен анықтау.
10. RDP бойынша қосылуларға байланысты Windows тізілімі мен брандмауэрын түрлендірулерді айқындау.
11. Желі бойынша қозғалу әрекеттерін анықтау үшін RDP арқылы қосылуларды қадағалау және талдау.
12. Күдікті сұрау салаларды пайдалана отырып, wmic.exe іске қосуларды анықтау.
13. Жүйелеріңіз Cobalt Strike Beacon пайдалы жүктемелерін және оларға ұқсас пайдаланудан кейінгі фреймворктардың өзіндік құралдарын (кемінде командалық жолдың әдеттегі дәлелдерімен және әдеттегі орындардан іске қосылатындарды) айқындай алатынын тексеру.
14. PsExec, SMBExec және екіжақты тағайындаудың басқа да құралдарымен немесе басып енуге тестілеу (пентест) құралдарымен байланысты жаңа қызметтердің құрылу оқиғаларын қадағалау.
15. Жалпы жүйелік файлдар (svchost.exe сияқты) ретінде жасырылған, алайда негізгі файлдары немесе орналасқан орны қалыпты емес орындалатын файлдарды бақылау.
16. Желіңізде қашықтан қол жеткізу құралдарын рұқсатсыз пайдалану беліглерін бақылау.
17. Бұлтты қоймалардың клиенттерін орнату оқиғаларын және бұлтты қоймаларға қол жеткізу оқиғаларын бақылау мен олардың рұқсат етілген болып табылатынын тексеру.
18. Зиянды конфигурациялары бар файлдардың орындалу оқиғаларын анықтау үшін соңғы хосттарадағы белгілі FTP-бағдарламаларын қадағалау.

KZ-CERT зиянды бағдарламалар мен бопсалаушы бағдарламалардың шабуыл жасау тәуекелдерін барынша азайту үшін https://www.cert.gov.kz/news/13/2057 ресми интернет-ресурсында материалдар жариялағанын естеріңізге түсірейік.