Простая настройка Active Directory помогает блокировать атаки программ-вымогателей BlackMatter

Исследователи безопасности обнаружили брешь в логике, управляющей семейством программ-вымогателей BlackMatter. Ошибка позволяет позволяет предприятиям не дать программе шифровать удаленные общие папки в сети организации.
Простая настройка Active Directory помогает блокировать атаки программ-вымогателей BlackMatter

Простая настройка Active Directory помогает блокировать атаки программ-вымогателей BlackMatter. Этo информация сервиса Star​tpack. Фото: Pexels

Полученные данные означают, что предприятия могут развернуть относительно простое средство защиты от ключевого вектора атаки в одном из самых успешных штаммов программ- вымогателей за последние несколько лет.

По словам исследователей из Illusive, несмотря на то, что семейство программ-вымогателей является очень сложным, меры по смягчению последствий могут помочь предотвратить поиск BlackMatter других компьютеров в активном каталоге (AD).

Создав «фиктивную» учетную запись компьютера в AD и установив для атрибута «dNSHostName» значение «не задано», BlackMatter прекратит поиск в AD других компьютеров для шифрования, как только наткнется на фальшивую учетную запись.

По словам исследователей, BlackMatter сначала пытается перебрать все учетные записи компьютеров в AD, сканируя их в алфавитном порядке. Затем он извлекает атрибуты для каждой учетной записи компьютера перед перечислением общих ресурсов для каждого компьютера и шифрованием каждого доступного общего ресурса, за исключением ADMIN$ и C$.

Результат приведет к заражению этой единственной учетной записи компьютера, и машина будет зашифрована, но это не позволит BlackMatter зашифровать удаленные общие файловые ресурсы. Эта фиктивная учетная запись «aaa-comp» будет эффективно действовать как приманка, предотвращая серьезный инцидент безопасности.

Исследователи заявили, что прекращение поиска и шифрования удаленных общих папок — это всего лишь один из методов атаки, который BlackMatter использует для нанесения ущерба жертвам, и что смягчение последствий не является панацеей. Другие методы, такие как локальное шифрование файлов и шифрование подключаемых дисков, по-прежнему будут доступны BlackMatter, даже при наличии мер по смягчению последствий.

Из сообщения Шахара Зелига, исследователя безопасности в Illusive:

«Мы не можем быть уверены в причине, но наличие учетной записи компьютера без атрибута dNSHostName не является чем-то естественным в среде Active Directory, поэтому вполне вероятно, что группа BlackMatter посчитала это крайним случаем, с которым они не должны справляться»

Запрет BlackMatter на шифрование удаленно доступных папок может снизить ущерб, который может нанести атака. Смягчение может не предотвратить шифрование компьютеров, на которых оно выполняется, но может помочь защитить общедоступные папки, содержащие критически важные для бизнеса данные, пишет ITPro.

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Больше интересного

Актуальное

Аудитория рекламной сети Microsoft достигла миллиарда человек по всему миру
LinkedIn готовит площадку видеоконференцсвязи
Signal незаметно запустил новую платежную систему
Ещё…