Простая настройка Active Directory помогает блокировать атаки программ-вымогателей BlackMatter

Простая настройка Active Directory помогает блокировать атаки программ-вымогателей BlackMatter. Фото: Pexels

Полученные данные означают, что предприятия могут развернуть относительно простое средство защиты от ключевого вектора атаки в одном из самых успешных штаммов программ- вымогателей за последние несколько лет.

По словам исследователей из Illusive, несмотря на то, что семейство программ-вымогателей является очень сложным, меры по смягчению последствий могут помочь предотвратить поиск BlackMatter других компьютеров в активном каталоге (AD).

Создав «фиктивную» учетную запись компьютера в AD и установив для атрибута «dNSHostName» значение «не задано», BlackMatter прекратит поиск в AD других компьютеров для шифрования, как только наткнется на фальшивую учетную запись.

По словам исследователей, BlackMatter сначала пытается перебрать все учетные записи компьютеров в AD, сканируя их в алфавитном порядке. Затем он извлекает атрибуты для каждой учетной записи компьютера перед перечислением общих ресурсов для каждого компьютера и шифрованием каждого доступного общего ресурса, за исключением ADMIN$ и C$.

Результат приведет к заражению этой единственной учетной записи компьютера, и машина будет зашифрована, но это не позволит BlackMatter зашифровать удаленные общие файловые ресурсы. Эта фиктивная учетная запись «aaa-comp» будет эффективно действовать как приманка, предотвращая серьезный инцидент безопасности.

Исследователи заявили, что прекращение поиска и шифрования удаленных общих папок — это всего лишь один из методов атаки, который BlackMatter использует для нанесения ущерба жертвам, и что смягчение последствий не является панацеей. Другие методы, такие как локальное шифрование файлов и шифрование подключаемых дисков, по-прежнему будут доступны BlackMatter, даже при наличии мер по смягчению последствий.

Из сообщения Шахара Зелига, исследователя безопасности в Illusive:

«Мы не можем быть уверены в причине, но наличие учетной записи компьютера без атрибута dNSHostName не является чем-то естественным в среде Active Directory, поэтому вполне вероятно, что группа BlackMatter посчитала это крайним случаем, с которым они не должны справляться»

Запрет BlackMatter на шифрование удаленно доступных папок может снизить ущерб, который может нанести атака. Смягчение может не предотвратить шифрование компьютеров, на которых оно выполняется, но может помочь защитить общедоступные папки, содержащие критически важные для бизнеса данные, пишет ITPro.

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Электронная почта Microsoft Exchange была повреждена из-за ошибки 2000 года.
• Опасный инфостилер подбирает пароли из браузеров.
• LastPass случайно напугал пользователей ложными предупреждениями о взломе.
• Новый Android-троян атакует через поддельную страницу Google Play Store.