05 июля 2021

WannaCry

Скачать PDF

Теги по теме

Overview of ICS vulnerabilities identified in 2017

Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название «WannaCry», с которыми 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик.

Все решения «Лаборатории Касперского» детектируют данное вредоносное ПО, которые использовались в этой атаке, следующими вердиктами:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.frTrojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (для детектирования данного зловреда компонент «Мониторинг Системы» должен быть включен)

За расшифровку данных злоумышленники требуют заплатить выкуп в размере 600 долларов США в криптовалюте Bitcoin. На данный момент «Лаборатория Касперского» зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России.

Vulnerabilities in various ICS components

Number of vulnerabilities identified

In 2017, the total number of vulnerabilities identified in different ICS components and published on the ICS-CERT website was 322. This includes vulnerabilities identified in general-purpose software and in network protocols that are also relevant to industrial software and equipment. These vulnerabilities are discussed in this report separately.

Analysis by Industry

The largest number of vulnerabilities affect industrial control systems in the energy sector (178), manufacturing processes at various enterprises (164), water supply (97) and transportation (74).

Distribution of published vulnerabilities by risk level

Conclusion

Checking that all the main protection components are enabled and running and that ICS software folders, OS system folders or user profiles are not excluded from the scope of protection. Application startup control technologies configured in whitelisting mode and application behavior analysis technologies are particularly effective for industrial enterprises. Application startup control will prevent cryptomalware from running even if it finds its way on to the computer, while application behavior analysis technologies are helpful for detecting and blocking attempts to exploit vulnerabilities (including unknown) in legitimate software.

И еще одна брешь выявлена в безопасности контроллеров SIMATIC:

  • SIMATIC S7-1500: все версии c v0 по v2.5 (не включая);
  • SIMATIC S7-1500 Software Controller: все версии c v0 по v2.5 (не включая);
  • SIMATIC ET 200SP Open Controller: все версии, начиная с 0.

Мы, со своей стороны, отметим, что хорошо продуманные и тщательно подготовленные фишинговые письма, а также утилиты удаленного администрирования используют в своих атаках и «продвинутые» фишеры. Мы считаем, что, за данной атакой стоит киберкриминальная группа, которая проводит массовые фишинговые рассылки на адреса различных компаний, в число которых иногда попадают предприятия критической инфраструктуры. Целью подобных групп является кража финансовых данных и денежных средств.

Distribution of published vulnerabilities by risk level Distribution of published vulnerabilities by risk level Distribution of published vulnerabilities by risk level
Country Description Role in the attack
Russia Opposition political website Waterhole
Real estate agency Auxiliary (collecting user data in the waterhole attack)
Football club Waterhole
Ukraine Electric power sector company Waterhole
UK Bank Auxiliary (collecting user data in the waterhole attack)
Germany Aerospace company Waterhole
Greece Software developer and integrator Waterhole
Unknown Auxiliary (collecting user data in the waterhole attack)
Oil and gas sector enterprise Waterhole

Множественные уязвимости в Wecon PI Studio

По нашим данным, указанные в публикации Yoroi фишинговые документы с различными
именами рассылались в письмах компаниям во многих странах, таких как Германия, Испания,
Болгария, Казахстан, Индия, Румыния и других. Сферы деятельности атакованных компаний также весьма
разнообразны, начиная от поставки бобов и заканчивая оказанием консалтинговых услуг.

.
География детектирования xlsx-документа из фишинговых писем (по данным Kaspersky Security Network)

В последнее время мы видим множество хорошо составленных фишинговых писем, отправляемых якобы от имени реально существующей компании, смежной по профилю компании-мишени. Поэтому сейчас по самому письму уже не всегда удается отличить таргетированную фишинговую рассылку, нацеленную лишь на несколько адресатов в одной индустрии, от массовой, затрагивающей компании разного профиля в разных странах.

Appendix I — Indicators of Compromise

Yara rules

        rule Backdoored_ssh {
            strings:
                $a1 = "OpenSSH"
                $a2 = "usage: ssh"
                $a3 = "HISTFILE"
            condition:
                uint32(0) == 0x464c457f and filesize<1000000 and all of ($a*)
        }

Distribution of published vulnerabilities by risk level

Tools

    /usr/lib/libng/ftpChecker.py
    /usr/bin/nmap/
    /usr/lib/libng/dirsearch/
    /usr/share/python2.7/dirsearch/
    /usr/lib/libng/SMBTrap/
    /usr/lib/libng/commix/
    /usr/lib/libng/subbrute-master/
    /usr/share/python2.7/sqlmap/

Distribution of published vulnerabilities by risk level

It should be noted that in nearly all of the countries where at least one half of all ICS computers were attacked during the six months (the TOP 20 of our ranking), the percentage of machines attacked in the industrial network infrastructure was higher than the overall percentage of computers attacked in these countries. This situation is particularly disturbing, given that, according to World Bank and Organization for Economic Co-operation and Development data, eight countries from this list — Indonesia, China, India, Iran, Saudi Arabia, Mexico, the Philippines and Malaysia — were also among the TOP 30 countries by industrial output in 2017