Өнгөрсөн 5 дахь өдөр дэлхий даяар өргөн хэмжээний “Ransomware” хэмээх кибер халдлага боллоо. Энэхүү халдлагын мэдээллийг CNN, BBC, Financial Times зэрэг дэлхийн томоохон мэдээллийн агентлагууд бүгд шуурхай дамжуулан хүргэсээр байгааг та бүхэн хүлээн авсан байхаа.
“Ransomware” нь таны системд нэвтрэн орж бүхий л мэдээлэл, өгөгдлийг нууцлалын тусгай алгоритмаар шифрлэн хандах боломжгүй болгон улмаар төлбөр нэхэн мөнгийг төлсөн тохиолдолд өгөгдлийг буцаан сэргээх нууц үгийг өгөх зорилготой кибер халдлагын нэг хэлбэр юм. Сүүлийн үед BITCOIN зэрэг цахим мөнгөний хэрэглээ хүчтэй нэвтрээд эхэлсэн нь энэ хэлбэрийн хууль бус үйлдлийг улам газар авахуулах боломжийг нэмэгдүүлж байна. Хэдийгээр “Ransomware” халдлага нь 30 орчим жилийн түүхтэй ч сүүлийн 3 жилд гэрлийн хурдтай (2015 онтой харьцуулахад 2016 онд 6000% хувь өссөн хэмээн IBM Security-ээс мэдэгдсэн: http://www.cnbc.com/…/ransomware-spiked-6000-in-2016-and-mo…) нэмэгдсэн нь хакеруудын хувьд мөнгө олох боломж байгаатай нь холбоотой. Жижиг дунд бизнес эрхлэгчдээс $300 салгахаас эхлээд олон улс дамжсан томоохон корпорацуудаас хэдэн сая-р нь салгах гэж оролдож буй тэрбумаар үнэлэгдэх хар зах болон хөгжиж байна. 2016 оны эхний улиралд л хохирогчид нийт 209 сая долларын төлбөрийг хийсэн гэсэн статистик үүнийг тодхон харуулах бизээ.
Манай харилцагч нараас л гэхэд өнгөрсөн 1 жилийн хугацаанд 20-д компани энэхүү халдлагад өртөн хандсан. Өнгөрсөн 1 сарын хугацаанд гэхэд 4, 5 тохиолдол бүртгэгдлээ. Энэ 5 дахь өдрөөс эхэлсэн халдлагад одоогийн байдлаар 150 орчим орны 200 мянга орчим тохиолдол бүртгэгдсэн байгаагаас томоохон хохирогчийг дурдвал Испанийн Телефоника, Португали Телеком зэрэг томоохон үүрэн телефоны операторууд, Их Британи улсын Үндэсний Эрүүл Мэндийн төв, эмнэлгүүд нь, Америкийн нэгдсэн улсын FedEx зэрэг үндэстэн дамнасан корпораци, Хятадын нэлээдгүй олон их сургуулиуд, Оросын дотоод хэргийн яам зэрэг төрийн байгууллагууд гэх мэтээр нэлээн урт цуваа болоод байна.
Сүүлд France-н Renault автомашин үйлдвэрлэгч зарим салбарын үйл ажиллагаагаа зогсоосон байна. Энэ халдлага нь WCry, WannaCry, WanaCrypt0r, WannaCrypt, or Wana Decrypt0r гэсэн нэртэйгээр тархаж буй Ransomware. Халдлага нь in Microsoft Windows Server Message Block 1.0 (SMBv1)-н сул нүхийг ашиглан хийгдэж буй нь тодорхой болсон. SMB нь сүлжээнд shared буюу дундын файлуудаа байршуулан ашиглах, дундын принтер зэргээ хэрэглэхэд ашигладаг суурь протокол юм.
Ингэхдээ Америкийн нэгдсэн улсын Үндэсний Аюулгүй байдлын Газрын (National Security Agency - NSA) хөгжүүлсэн EternalBlue хэмээх дээр дурдсан Windows системийн SMB протоколын сул нүх дээр суурилсан кибер халдлагын програмыг ашиглан хийгдэж байна гэсэн эхний дүгнэлтүүд гарсан байна. Энэхүү EternalBlue-г 2017 оны 4 сарын 17-нд “Shadow Brokers” хэмээх хакерын бүлэг нийтэд ил болгосон. Энэ хакерийн бүлэг нь өнөөдрийг хүртэл NSA-н нилээдгүй технологийг уудлан нийтэд тараагаад байгаа 2016 оноос эрчимтэй үйл ажиллагаа явуулж буй бүлэг юм.
Хэдийгээр энэхүү халдлагын эх үүсвэрийг 5 дахь өдрийнхөө оройдоо олж илрүүлэн тогтоон барьсан гэж байгаа ч дахин зүсээ хувирган халдах, мөн нэгэнт халдварласан байгаа нь идэвхжин хор уршгаа үргэлжлүүлэх нь ойлгомжтой байсаар байна хэмээн олон улсын мэдээллийн аюулгүй байдлын мэргэжилтнүүд мэдэгдсээр байна. Ялангуяа ирэх шинэ долоо хоногт энэ халдлага газар авч болзошгүйг анхааруулсаар байна !!!
Энэхүү халдлагаас сэргийлэх үндсэн арга нь:
1. Microsoft-оос саяхан гаргасан patch (patch - шинэчилэл) MS17-010 -г суулгах, ялангуяа доор дурдсан үйлдлийн системтэй бол даруй суулгах:
• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2
• Windows 8.1
• Windows Server 2012 and Windows Server 2012 R2
• Windows RT 8.1
• Windows 10
• Windows Server 2016
• Windows Server Core installation option
2. Нээлттэй байгаа SMB (ports TCP 139/445 болон UDP 137/138)-г тодорхой хугацаанд хаах.
3. Сүлжээний болон мэдээллийн аюулгүй байдлын мэргэжилтэн нь SMB-тай холбоотой буюу дундын file sharing, printer sharing сервистэй холбоотой трафикуудын хянах, ингэхдээ сүлжээний нэг хаягаас олон газарлуу од хэлбэрийн (star topology) ихээхэн урсгал үүсж байгаа эсэхийг хянах
4. Мөн DNS серверийн үйл ажиллагааг мөн давхар хянах (increase in DNS activity to DGA destinations). Зарим түгээмэл мэдэгдэж буй домайнууд нь:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)
Rphjmrpwmfv6v2e[dot]onion
Gx7ekbenv2riucmf[dot]onion
57g7spgrzlojinas[dot]onion
xxlvbrloxvriy2c5[dot]onion
76jdd2ir2embyv47[dot]onion
cwwnhwhlz52maqm7[dot]onion
5. Дараахи IP хаягуудыг мөн хянах:
188[.]166[.]23[.]127:443
193[.]23[.]244[.]244:443
2[.]3[.]69[.]209:9001
146[.]0[.]32[.]144:9001
50[.]7[.]161[.]218:9001
217.79.179[.]77
128.31.0[.]39
213.61.66[.]116
212.47.232[.]237
81.30.158[.]223
79.172.193[.]32
89.45.235[.]21
38.229.72[.]16
188.138.33[.]220
231.221.221:9001
31.0.39:9191
202.160.69:9001
101.166.19:9090
121.65.179:9001
3.69.209:9001
0.32.144:9001
7.161.218:9001
79.179.177:9001
61.66.116:9003
47.232.237:9001
30.158.223:9001
172.193.32:443
229.72.16:443
МӨН ЦААШДАА:
Томоохон байгууллагуудын хувьд SIEM (Security Incident and Event Management) шийдлийг байгууллагадаа судлан нэвтрүүлэх нь зөв юм. SIEM зэрэг Automated threat intelligence нь ийм төрлийн халдлагыг илрүүлэх хянахад хамгийн тохиромжтой. Учир нь эдгээр шийдэл нь тухайн байгууллагын системийг бүхэлд нь томоор нь хянах, харах боломжийг олгодог.
- IT Zone компаний партнер HPE ArcSight SIEM системийг хэрэглэж буй айлууд маань Protect724 холбоосоор ransomware-н эсрэг хийх зааварчилгааг харахыг зөвлөж байна.
- IT Zone компаний партнер Fortinet хамгаалалтын системийг ашиглаж буй бол: MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution ISP Signature-г системдээ суулгахыг зөвлөе.
- Мөн дараахи нийтлэлийг сонирхоно уу:
- US-CERT байгууллагаас Microsoft SMBv1 Vulnerability-н талаар гарсан нийтлэл.
- “Hunting Ransomware using ArcSight: proactive detection & response”.
- “Best Practices for Data Protection and Business Continuity in a Mobile World”.
- http://blog.talosintelligence.com/2017/05/wannacry.html#more
- http://blog.talosintelligence.com/2017/05/jaff-ransomware.html
Мөн эцэст нь ямар ч тохиолдолд та чухал (санхүү, харилцагч, төлбөрийн гэх мэт) гэсэн өгөгдлөө хаана хэрхэн байршуулсан, хэрхэн хамгаалж байгаа, ямар эрсдэл байна, нөөцөлж авсан байгаа эсэхээ шалгахыг хүсч байна.
Бидний зүгээс өгөгдөл хамгаалах болон нөөцлөх шийдлийг бүхий л түвшний байгууллагад тохирсон шийдлээр (HPE Arcsight, Fortinet, DellEMC-н Data Protection Suite, QNAP гэх мэт) нь гарган ажиллах боломжтой.