Раді Вас бачити! » Увійти » Створити новий профіль

Кібератака на Україну: Microsoft каже про масштабне пошкодження серверів й знищення даних

https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були!  :facepalm:
   
Думаю, просто мкрософт хайп на пустом месте накатвыает.
   
Думаю, просто мкрософт хайп на пустом месте накатвыает.
диму без вогню не буває...
   
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були!  :facepalm:

зато #ненадопереплачивать
   
зато #ненадопереплачивать
ну, макось хоч і юнікс, але в цьому сегменті не айс.
   
Как exe-программка могла задефейсить веб-сайт? :)
   
Как exe-программка могла задефейсить веб-сайт? :)
"чи можна фуєм дуба зламати?" ;)
   
а чому ці сервера не на Лінуксі? :S
   
Зловмисне програмне забезпечення

Аж злякавсь .., хоча .., тра було цитоване , ще й червоним виокремити . ))
   
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були!  :facepalm:

цікавіше інше

воно перезаписує основний завантажувальний запис (Master Boot Record, MBR - частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему) у системах-жертвах із записом про викуп.


MBR???? У 2022мц році?????

 :facepalm1:

   
Чі була якась атака , та чі й справді якомусь дрібносохтові цікаве , що у Україні відбуваєцця - одному Господові відомо , а що життєвий досвід "шепче" , теє краще й не друкувати . ))
   
Как exe-программка могла задефейсить веб-сайт? :)

та тут якраз технологія зрозуміла - та програмка просто шлюз/бот для отримання команд
   
Позорище . Укр.чиновникам только сервер без выхода в сеть .
   
а чому ці сервера не на Лінуксі? :S

Для начала надо понять, о каких вообще серверах идет речь, и были-ли вообще сервера... :)
   
MBR???? У 2022мц році?????

 А от не тра ото такечки соромитись та обличча долонькою закривати . ))

У приватному користуванні - чудово почуваєцця , дякувати Богу , що МеБеРе , що усе інше , і навіть якося із усілякою заразою співіснуючи , та волю користувача виконуючи , кхм , до певної межі . ))
   
а чому ці сервера не на Лінуксі? :S



поглянь на цей дезігнерський "шедевр" і зрозумій, шо ці рукожопи навіть "титанову кульку зламають"
   
поглянь на цей дезігнерський "шедевр" і зрозумій

Воно зрузуміле принаймі вже декілька років , від часу , коли отого сайта "труд.гов.юа" , хтось такечки переробило , що майже ніодин браузер "не пережовує" толком , але мать бабліще "за роботу" , хтось узяло .
   
magistr, поясніть словами а не картинками
   
magistr, поясніть словами а не картинками
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)
   
https://www.pravda.com.ua/news/2022/01/16/7320552/ :lol:
"Зловмисне програмне забезпечення, як виявив MSTIC, знаходиться в різних робочих каталогах пристроїв, і часто має назву stage1.exe,"
так шо, серваки таки під віндою були!  :facepalm:
Ти хоч все прочитав? Чи тільки до .exe  :lol:
   
Думаю, просто мкрософт хайп на пустом месте накатвыает.
Це саме ймовірне пояснення. Те що вірусня у юзерів на компах буває то правда, але відношення до серверу не має ніякого.
   
MBR???? У 2022мц році?????
Ікспєрти йопта  Б/П  :weep:
Віртуалка який має boot record?
   
Ти хоч все прочитав? Чи тільки до .exe  :lol:
все, все... не переймайся. а якого біса решту серваків держустанов повимикали, га?  B-)
   
Ікспєрти йопта  Б/П  :weep:
Віртуалка який має boot record?
віртуальний!  :laugh:
   
все, все... не переймайся. а якого біса решту серваків держустанов повимикали, га?  B-)
Це треба мати доступ до серверних логів... Але те що написала УП зі слів МС то дурня якась і перевірка видно пройшла на компах працівників...
   
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)

а яка то версія Windows Server?
   
а яка то версія Windows Server?
ти мене питаєш? я всього лиш висловив припущення, яке випливає із замітки на УП
   
Це треба мати доступ до серверних логів... Але те що написала УП зі слів МС то дурня якась і перевірка видно пройшла на компах працівників...
це не відміняє проблеми в даному напрямку
   
Ікспєрти йопта  Б/П  :weep:
Віртуалка який має boot record?

який вибереш, такий й має
пан взагалі різницю між MBR та GPT хоч уявляє?
   
це треба бачити. а тепер порівняємо наповнення з 2013 роком.
http://web.archive.org/web/20130927084014/http://www.mon.gov.ua/
сі зе діфференс!
п.с. как нізко пал сєкам!(с)

Дизайн тут не має жодного відношення до безпеки серверів. Щодо дизайну вебсайту, то тут видно як змінюється тренд в дизайні вебсайтів.

Коли починаються такі порівняння, то пора визнати, що старієш і більше не встигаєш за модними трендами. Всі через це проходять в якийсь момент свого життя.
   
Как exe-программка могла задефейсить веб-сайт? :)

Гм. А что мешает?
   
 B-)
Facebook заблокував офіційну сторінку російської делегації на переговорах у Відні з питань військової безпеки та контролю за озброєннями. Про це повідомив керівник делегації Костянтин Гаврилов.
   
де ви в новині про сайти щось бачили..
там про атаку на мережу, на пристрої в мережі...

   
MBR???? У 2022мц році?????
який відсоток компів з уефі в міністерствах??? 
 :shuffle:
   
Дизайн тут не має жодного відношення до безпеки серверів. Щодо дизайну вебсайту, то тут видно як змінюється тренд в дизайні вебсайтів.

Коли починаються такі порівняння, то пора визнати, що старієш і більше не встигаєш за модними трендами. Всі через це проходять в якийсь момент свого життя.
е ні, аміго! це показує тенденцію до зростання рукожопості компутерників, як такої. моду залиш для кутюр"є. а тут- працює або не працює.  у варіанті 2013 року бачимо
солідний сайт солідної установи з солідним наповненням і почуттям гармонії у дезігнерів з атрибутами розробника та належними копірайтами. у сучасному варіанті- одоробло, що не дотягує до рівня лабораторної роботи якогось пту у задрипаному мухосранську. просто визнай- аксіома Коула працює.
   
MBR???? У 2022мц році?????
Я теж спантеличений. Власне навіть знищення MBR ніяк не призводить до втрати даних.
   
е ні, аміго! це показує тенденцію до зростання рукожопості компутерників, як такої. моду залиш для кутюр"є. а тут- працює або не працює.  у варіанті 2013 року бачимо
солідний сайт солідної установи з солідним наповненням і почуттям гармонії у дезігнерів з атрибутами розробника та належними копірайтами. у сучасному варіанті- одоробло, що не дотягує до рівня лабораторної роботи якогось пту у задрипаному мухосранську. просто визнай- аксіома Коула працює.

Це такий тренд зараз. Так само змінюються інші сайти.
І це немає жодного відношення чи подобається це мені особисто, це просто факт.
Те саме я можу сказати і про дизайн іконок, наприклад, Фаєрфоксу та Хрому.

Але дизайн сайту не має жодного відношення до безпеки серверів та мережі, щим скоріше за все займаються абсолютно різні люди.
   
Це такий тренд зараз. Так само змінюються інші сайти.
І це немає жодного відношення чи подобається це мені особисто, це просто факт.
Те саме я можу сказати і про дизайн іконок, наприклад, Фаєрфоксу та Хрому.

Але дизайн сайту не має жодного відношення до безпеки серверів та мережі, щим скоріше за все займаються абсолютно різні люди.
так, така деградація мені НЕ ПОДОБАЄТЬСЯ, хоч ти її сто раз "модою" називай. суть від цього НЕ МІНЯЄТЬСЯ.
   
Деструктивне зловмисне програмне забезпечення, спрямоване на українські організації

https://www.microsoft.com/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/

Центр розвідки загроз Microsoft (MSTIC)
Microsoft Digital Security Unit (DSU)
Команда Microsoft 365 Defender Intelligence Threat Intelligence
Група виявлення та реагування (DART)

Центр Microsoft Threat Intelligence Center (MSTIC) виявив докази руйнівної операції зловмисного програмного забезпечення, спрямованої на декілька організацій в Україні. Це зловмисне програмне забезпечення вперше з’явилося в системах жертв в Україні 13 січня 2022 року. Корпорація Майкрософт знає про поточні геополітичні події в Україні та прилеглому регіоні та заохочує організації використовувати інформацію в цій публікації для активного захисту від будь-якої зловмисної діяльності.

Поки наше розслідування триває, MSTIC не виявив жодних помітних зв’язків між цією спостережуваною активністю, яка відстежується як DEV-0586, та іншими відомими групами активності. MSTIC оцінює, що зловмисне програмне забезпечення, яке створено так, щоб виглядати як програмне забезпечення-викуп, але не має механізму відновлення викупу, має бути руйнівним і призначене для того, щоб вивести цільові пристрої в непрацездатність, а не для отримання викупу.

Наразі та на основі видимості Microsoft наші слідчі групи виявили зловмисне програмне забезпечення в десятках уражених систем, і ця кількість може зрости в міру продовження нашого розслідування. Ці системи охоплюють декілька державних, некомерційних та інформаційно-технологічних організацій, які базуються в Україні. Ми не знаємо поточного етапу операційного циклу цього зловмисника або того, скільки інших організацій-жертв може існувати в Україні чи інших географічних місцях. Однак, малоймовірно, що ці системи, які постраждали, відображають весь масштаб впливу, як повідомляють інші організації.

Враховуючи масштаби спостережуваних вторгнень, MSTIC не може оцінити наміри виявлених деструктивних дій, але вважає, що ці дії становлять підвищений ризик для будь-якого державного органу, некомерційного чи підприємства, що знаходиться або має системи в Україні. Ми наполегливо рекомендуємо всім організаціям негайно провести ретельне розслідування та застосувати захист, використовуючи інформацію, надану в цій публікації. MSTIC оновить цей блог, оскільки у нас є додаткова інформація, якою можна поділитися.

Як і у випадку з будь-якою спостережуваною діяльністю між національною державою, Microsoft безпосередньо та проактивно сповіщає клієнтів, які були націленими або скомпрометованими, надаючи їм інформацію, необхідну для проведення розслідування. MSTIC також активно співпрацює з членами глобальної безпекової спільноти та іншими стратегічними партнерами, щоб поділитися інформацією, яка може подолати цю загрозу, що розвивається, через кілька каналів. Корпорація Майкрософт використовує позначення DEV-#### як тимчасове ім'я, яке дається невідомому, виникаючому або розвивається кластеру загроз, що дозволяє MSTIC відстежувати його як унікальний набір інформації, доки ми не досягнемо високої впевненості щодо походження або ідентифікації актора, який стоїть за діяльністю. Як тільки він відповідає критеріям, DEV перетворюється на названого актора або об’єднується з існуючими акторами.

Діяльність актора, яка спостерігається

13 січня корпорація Майкрософт виявила вторгнення, що походить з України, що, здавалося, може бути діяльністю Wiper Master Boot Records (MBR). Під час нашого розслідування ми виявили, що унікальні можливості шкідливого програмного забезпечення використовуються в атаках на кілька організацій-жертв в Україні.
   
Етап 1: перезаписати основний завантажувальний запис, щоб відобразити підроблену записку про викуп

Зловмисне програмне забезпечення знаходиться в різних робочих каталогах, включаючи C:\PerfLogs , C:\ProgramData , C:\ і C:\temp , і часто називається stage1.exe . Під час спостережуваних вторгнень зловмисне програмне забезпечення виконується через Imppacket, загальнодоступну можливість, яку часто використовують суб’єкти загрози для бічного переміщення та виконання.

Двоетапне зловмисне програмне забезпечення перезаписує основний завантажувальний запис (MBR) у системах-жертвах із записом про викуп (етап 1). MBR — це частина жорсткого диска, яка повідомляє комп’ютеру, як завантажити операційну систему. Записка про викуп містить біткойн-гаманець та Tox ID (унікальний ідентифікатор облікового запису, який використовується в протоколі обміну повідомленнями, зашифрованим Tox), які раніше не спостерігалися MSTIC:

Ваш жорсткий диск пошкоджено.
Якщо ви хочете відновити всі жорсткі диски
вашої організації,
Ви повинні заплатити нам 10 тисяч доларів через біткойн гаманець
1AVNM68gj6PGPFcJuft KATa4WLnzg8fpfv та надіслати повідомлення через
ідентифікаційний номер 8BEDC411012A33BA34F 49130D0F186993C6A32 DAD8976F6A5D82C1ED2 3054C057ECED5496F65
з назвою вашої організації.
Ми зв’яжемося з вами, щоб надати подальші інструкції.

Зловмисне програмне забезпечення запускається, коли пов’язаний пристрій вимкнено. Перезапис MBR є нетиповою для кіберзлочинних програм-вимагачів. Насправді повідомлення про програму-вимагач є хитрістю, і зловмисне програмне забезпечення знищує MBR і вміст націлених файлів. Існує кілька причин, чому ця діяльність несумісна з діяльністю кіберзлочинців-вимагачів, які спостерігається MSTIC, зокрема:

Корисне навантаження програм-вимагачів зазвичай налаштовується для кожної жертви. У цьому випадку у кількох жертв спостерігався той самий викуп.

Практично всі програми-вимагачі шифрують вміст файлів у файловій системі. Зловмисне програмне забезпечення в цьому випадку перезаписує MBR без механізму відновлення.

Точні суми платежів та адреси гаманців криптовалют рідко вказуються в сучасних кримінальних записках про викуп, але вказуються DEV-0586. Одна й та сама адреса біткойн-гаманця спостерігалася під час усіх вторгнень DEV-0586, і на момент аналізу єдиною активністю була невелика передача 14 січня.

Рідко для методу зв’язку є лише ідентифікатор Tox, ідентифікатор для використання з протоколом обміну повідомленнями, зашифрованим Tox. Як правило, існують веб-сайти з форумами підтримки або кількома способами зв’язку (включаючи електронну пошту), щоб жертві було легко встановити контакт.

Більшість кримінальних записок про викуп містить власний ідентифікатор, який жертва має надіслати в своїх повідомленнях зловмисникам. Це важлива частина процесу, коли користувацький ідентифікатор з’єднується на серверній частині операції вимагача з ключем дешифрування для жертви. Записка про викуп у цьому випадку не містить спеціального ідентифікатора.

Корпорація Майкрософт продовжуватиме відстежувати діяльність DEV-0586 і впроваджувати засоби захисту для наших клієнтів. Нижче наведено відомості про поточні виявлення, розширені засоби виявлення та IOC в наших продуктах безпеки.
   

Цю тему переглядають:

0 Користувачів і 1 гість
 
Повна версія