Държавата казва с какво точно са атакувани Български пощи
Tomas е злонамерена програма, класифицирана като ransomware. Системите, заразени с този зловреден софтуер, имат криптирани данни и потребителите получават искания за откуп за инструменти/софтуер за декриптиране. Когато Tomas ransomware криптира, той преименува засегнатите файлове според този модел: оригинално име на файл, уникален идентификатор, имейл адрес на киберпрестъпниците и разширение „ .tomas “.
Например, файл, първоначално наречен " 1.jpg ", ще нещо подобно на " 1.jpg.[9B83AE23].[tomasrich2020@aol.com].tomas" след криптиране. След като този процес приключи, съобщение за откуп се създава в текстов файл с име " readme-warning.txt ".
Съобщението с искане за откуп в „ readme-warning.txt “ гласи, че файловете на жертвите са криптирани и добавени с разширението „ .tomas “. И единственият начин за възстановяване на данните е чрез закупуване на инструменти/софтуер за декриптиране от киберпрестъпниците зад инфекцията.
За да получат допълнителни инструкции, потребителите трябва да установят контакт с престъпниците чрез имейл или платформата за съобщения на Telegram. Като „доказателство“, че възстановяването е възможно, киберпрестъпниците предлагат безплатно дешифриране на един файл. Жертвите са предупредени, че рестартирането или изключването на техните устройства ще направи техните файлове неразшифровани.
От ведомството уточняват, че за да се предотврати допълнително криптиране от Tomas ransomware, той трябва да бъде елиминиран от операционните системи, но премахваното му не възстановява вече компрометирани файлове.
Единственото решение е възстановяване на данни от резервно копие. Поради големия обем на базите данни и невъзможността за осигуреност на външна среда за съхранение, архивирането е извършвано на място за съхранение на данни, сепарирани на виртуални дялове.
„Резервните копия, които се съхраняват в друга мрежа и в друг виртуален домейн, също са били поразени от криптовирус, поради бавната реакция на поддържащите инфраструктурата в дружеството“, уточнява Калина Константинова.
Тя допълва, че след обстоен преглед на информационната инфраструктура е установено наличие на зловреден софтуер Mimikatz: платформа за кражба на пароли.
Предполагаема механика на действие на атаката е входната точка на 2600 броя физически и морално остарели работни станции с операционна система Windows ХР и Windows 7, което създава предпоставки за пробив в сигурността на мрежата, като многократно е увеличен рискът за проникване в инфраструктурата на дружеството.
На тези работни станции е невъзможно да се поддържа съвременен антивирусен софтуер, който ежедневно да се обновява. Използвана е и уязвимост в сигурността на Microsoft Exchange Server, която позволява на хакерите да имат достъп до вътрешни регистри на Windows, използвайки „cmdlets“ на Microsoft Exchange. Това включва: права за дистанционно изпълнение на команди на PowerShell, пароли за потребителските акаунти и ключовете за тяхното декриптиране, и създаване на нов/използване на съществуващ администраторски акаунт.
Използваният инструмент е спомогнал на злонамерените лица да получат неоторизиран достъп до операционните системи на Windows server, чрез него е придобита и модифицирана администраторска парола на SQL administrator, с която е извършено криптиране на базите данни.
Към този момент заразената среда е изолирана и не се работи на нея. Изградена е изцяло нова информационна среда. Междувременно, със специализирани инструменти, се проверят обстойно незасегнатите бази данни за наличие на вируси.
Депутатите ще разискват състоянието на „Български пощи“
Народните представители ще разискват по питането на Стоян Таслаков и Никола Димитров към заместник министър-председателя по ефективно у...
Единствената комуникация е оставен лог със следния текст:
По препоръка на компетентните служби комуникация с предполагаемите причинители не е препоръчителна и не е осъществявана.
Вижте всички последни новини от Actualno.com
Още от КРИМИ:
СРС-та и показания на свидетели: Как Живко Коцев от свидетел стана обвиняем
Живко Коцев не може да бъде осъден, ако се е издал, трябват още доказателства
Освободиха под гаранция журналиста Димитър Стоянов
Стана ясно кога ще бъде освободен от ареста Димитър Стоянов
Разбиха схема за регистрация на автомобили с фалшиви документи
Божков отива на съд по хазартното дело - нанесъл 560 млн. лв. щети на бюджета
След като шофира дрогирана: Певицата Диона се изправи пред съда
ВАС върна лиценза на "Делта гард"
Обвиниха Динко от Ямбол за участие в организирана престъпна група
Била се самонаранила: Намушканата жена в дома й промени показанията си
Редактор:
Анита Чолакова
Етикети: Български пощи кибератака Калина Константинова зловреден софтуер