Răzvan Tătaru

Recomandări de la DNSC pentru firme, după atacul cibernetic de la compania Electrica de luni, 9 decembrie 2024

Hacker care blochează datele de pe un laptop cu un ransomware

Directoratul Național de Securitate Cibernetică din România (DNSC) a fost notificat referitor la un atac de tip ransomware asupra Grupului Electrica luni, 9 decembrie, și a revenit cu recomandări de scanare a infrastructurilor IT&C pentru alte firme care ar putea fi infectate, conform unei alerte emise astăzi, miercuri, 11 decembrie 2024.

Specialiștii DNSC s-au deplasat la fața locului pentru a oferi suport în remedierea problemei și investigarea incidentului de tip ransomware alături de alte autorități cu atribuții în domeniu.

Investigația este momentan în derulare, iar pe baza datelor disponibile, sistemele critice pentru alimentarea cu curent electric nu au fost afectate și sunt funcționale.

DNSC recomandă tuturor entităților, în special celor din domeniul energiei, indiferent dacă au fost sau nu afectate de atacul ransomware, susținut de gruparea de criminalitate cibernetică LYNX Ransomware, să scaneze infrastructura proprie IT&C cu privire la binarul malițios (criptorul) prin utilizarea scriptului de scanare YARA.

IOCs validați la data de 11.12.2024

c02b014d88da4319e9c9f9d1da23a743a61ea88be1a389fd6477044a53813c72 1.exe

hXXp://lynxblog.net/

#YARA rules

rule ransomware_LYNX_1 {

   meta:

      description = "Detecteaza LYNX ransomware"

      author = "DNSC"

      date = "2024-12-10"

      hash1 = "c02b014d88da4319e9c9f9d1da23a743a61ea88be1a389fd6477044a53813c72"

   strings:

      $s1 = "[+] Successfully decoded readme!" fullword ascii

      $s2 = "[-] Failed to get service information for %s: %s" fullword wide

      $s3 = "--file C:\\temp.txt,D:\\temp2.txt" fullword ascii

      $s4 = "--file C:\\temp.txt" fullword ascii

      $s5 = "AppPolicyGetProcessTerminationMethod" fullword ascii

      $s6 = "[-] Failed to open service manager for %s: %s" fullword wide

      $s7 = "[-] Failed to open service handle for %s: %s" fullword wide

      $s8 = "[-] Failed to enum dependent services for %s: %s" fullword wide

      $s9 = "[-] Failed to kill dependent services for %s: %s" fullword wide

      $s10 = "[%s] Try to stop processes via RestartManager" fullword wide

      $s11 = "[%s] Kill processes and services" fullword wide

      $s12 = "Load hidden drives (will corrupt boot loader)" fullword ascii

      $s13 = "README.txt" fullword wide

      $s14 = "[-] Failed to mount %s: %s" fullword wide

      $s15 = "[-] Failed to decode readme: %s" fullword ascii

      $s16 = "Try to stop processes via RestartManager" fullword ascii

      $s17 = "Kill processes/services" fullword ascii

      $s18 = "--stop-processes " fullword ascii

      $s19 = "--stop-processes" fullword wide

      $s20 = "[%s] Encrypt network shares" fullword wide

 

      $op0 = { e8 22 c8 01 00 01 46 30 6a 00 11 56 34 6a 13 ff }

      $op1 = { 23 d1 89 55 d0 8b 55 e4 81 f2 ff ff ff 03 f7 d2 }

      $op2 = { 23 d1 89 55 d4 8b d7 81 f2 ff ff ff 01 f7 d2 8b }

 

 

condition:

      uint16(0) == 0x5a4d and filesize < 500KB and

      ( 8 of them and all of ($op*) )

}

 

rule ransomware_LYNX_2 {

   meta:

      description = "Detecteaza LYNX ransomware"

      score = 80

                 md5 = "2E8607221B4AB0EB80DE460136700226"

   strings:

      $s1 = "tarting full encryption in" wide

      $s2 = "oad hidden drives" wide

      $s3 = "ending note to printers" ascii

      $s4 = "uccessfully delete shadow copies from %c:/" wide

 

      $op1 = { 33 C9 03 C6 83 C0 02 0F 92 C1 F7 D9 0B C8 51 E8 }

      $op2 = { 8B 44 24 [1-4] 6A 00 50 FF 35 ?? ?? ?? ?? 50 FF 15}

      $op3 = { 57 50 8D 45 ?? C7 45 ?? 00 00 00 00 50 6A 00 6A 00 6A 02 6A 00 6A 02 C7 45 ?? 00 00 00 00 FF D6 FF 75 ?? E8 ?? ?? ?? ?? 83 C4 04 8B F8 8D 45 ?? 50 8D 45 ?? 50 FF 75 ?? 57 6A 02 6A 00 6A 02 FF D6 }

      $op4 = { 6A FF 8D 4? ?? 5? 8D 4? ?? 5? 8D 4? ?? 5? 5? FF 15 ?? ?? ?? ?? 85 C0 }

      $op5 = { 56 6A 00 68 01 00 10 00 FF 15 ?? ?? ?? ?? 8B F0 83 FE FF 74 ?? 6A 00 56 FF 15 ?? ?? ?? ?? 68 88 13 00 00 56 FF 15 ?? ?? ?? ?? 56 FF 15}

   condition:

      uint16(0) == 0x5A4D and

      (

         3 of ($s*)

         or 3 of ($op*)

         or (2 of ($s*) and 2 of ($op*) )

      )

}

Recomandările DNSC în cazul unei infectări cu ransomware

În cazul în care companiile depistează o infectare cu ransomware, Directoratul recomandă cu fermitate ca nimeni să nu plătească răscumpărarea cerută de către atacatori.

Folosirea indicatorilor de mai sus pentru scanarea infrastructurii IT&C de către toate entitățile din domeniul energiei, indiferent dacă au fost sau nu afectate de atacul LYNK Ransomware.

Pentru a limita extinderea incidentului vă recomandăm următoarele:

  • Identificați ce sisteme sunt afectate și izolați-le imediat de restul rețelei cât și de la internet.
  • Păstrați o copie a mesajului de răscumpărare și orice alte comunicări de la atacatori. Aceste informații sunt utile pentru autorități sau pentru analiza ulterioară a atacului.
  • Păstrați/colectați toate informațiile de tip jurnal relevante, de pe echipamentele afectate, dar și de la: echipamente de rețea, firewall etc.
  • Examinați jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisă infrastructura IT&C.
  • Informați imediat toți angajații și notificați clienții și partenerii de afaceri afectați cu privire la incident și amploarea acestuia.
  • Identificați eventuale instrumente/utilitare ce va pot ajuta in procesul de decriptare. Unele organizații, cum ar fi Europol cât și alte companii de securitate cibernetică, oferă instrumente gratuite pentru decriptarea anumitor tipuri de ransomware:
  • Dacă dețineți o copie de rezervă a datelor, restaurați sistemele afectate din backup, după ce ați efectuat o sanitizare completă a sistemelor. Asigurați-va că backup-urile sunt actualizate și sigure împotriva atacurilor.
  • Asigurați-vă că toate programele, aplicațiile și sistemele de operare sunt actualizate la ultimele versiuni și de faptul că toate vulnerabilitățile cunoscute sunt corectate.
Parallax

Vizualizari
239
Conţinut
Parerea ta despre articol
Adauga comentariu

- Ultimele știri -

 

  Ultimele știri