Об этом сообщает пресс-центр СБУ.
Во время анализа атаки вируса Petya специалисты обнаружили, что ей предшествовал сбор данных о предприятиях - электронные почты, пароли, реквизиты доступа к серверам, данные пользователей и другая информация, отсутствующая в открытом доступе. В дальнейшем данные скрыли в файлах cookies и отправили на командный сервер.
Специалисты СБУ предполагают, что именно эта информация была целью первой волны кибератаки и может быть использована как для проведения киберразведки, так и для дальнейших деструктивных акций.
Об этом свидетельствует обнаруженная утилита Mimikatz (инструмент, позволяющий получить високопривелигированные данные из системы). Она использует архитектурные особенности службы Kerberos в Microsoft Active Directory для скрытого сохранения привилегированного доступа к ресурсам домена. Работа Kerberos базируется на обмене и верификации TGT-билетов доступа.
В большинстве учреждений и организаций смена пароля krbtgt не предусмотрена.
Таким образом, злоумышленники, которые во время кибератаки Petya получили административные сведения, могут создать условно бессрочные TGT-билеты с сохранением доступа в случае отключения взломанной учтенной записи.
СБУ советует системным администраторам и уполномоченным по информационной безопасности в кратчайший срок провести следующие действия по наведенному порядку:
В дальнейшем СБУ рекомендует хранить данные о доступе, используя для этого специализированное программное обеспечение.