kodak2004

Ыыыыыыхыхыхыхыыхыхыхыхыхыхых

Кажный такой случай повышает мою ценность на рынке

Я могу подумать над предложением архитектора в вашем госпитале за 200к

From:

Предлагайте свои услуги: http://www.medstarhealth.org/mhs/careers/search-jobs-at-medstar-health-corporate

Только не сегодня, менеджмент пока пытается сохранить покерфейс и не выдать причину блэкаута, хотя народ на местах уже в курсе :)

From:

На прошлой неделе Методист Хоспитал из Кентаки -- такие же бараны -- вырубили все компы и по одному включали после анти-вирусного оффлайнового сканирования. Возможно, ваши об этом слышали и используют тот же метод. Глупо.

У нас обнаружение действующего криптолокера, который не ловится антивирусом, случается в течение 5 минут, в течение этого же срока локализуется и оффендер просто кикается из сети. Потом пишет объяснительные менеджеру и в эйчар, ггг

From:

Оффендер - комп, с которого произошел breach? А его можно вообще постфактум вычислить, если заражена уже часть сети?

From:

Для этого должны быть выполнены ряд условий, путей несколько.

Если фронтендом к файловому хранилищу выступает винда и в ней включен аудит аккаунт логон ивентс -- просто анализом журнала событий на файл-сервере, на котором зашифрованы данные. Если это какой-нибудь ЕМЦ Исилон, который никто никогда не настраивал, то дела плохи.

Сейчас на рынке есть масса решений типа "брич детекшн". Ставица в ДЦ апплайенс, на оборудовании сиско конфигурируется т.н. "спан" (= порт мирроринг в ихней терминологии), т.е. апплайенс получает копию всех данных циркулирующих по сети, этот апплайенс умеет делать бэйслайн и выбросы из него регистрирует как инцидент. Т.е. грубо говоря, типовой сотрудник не переименовывает по 50 файлов в секунду, а если да -- то криптолокер с вероятностью в 95%.

Есть решения для аудита файловых систем на почти любых файл-серверах, как правило, третьих фирм, например, ПауэрБрокер. Его можно настроить, сделать триггер -- слишком много переименований от одного и того же юзера в единицу времени -- спродуцировать алерт. Алерт затем идёт в СИЕМ, в которой можно прикрутить скрипт, автоматически кикающий оффендера из сети, даже когда никто за этим не смотрит. Можно сделать всё на коленке скриптами.

Ну и наконец, способ от сохи, это тупо проинспектировать все компы на предмет зашифрованных файлов. Все известные криптолокеры первым делом шифруют "мои документы", а потом переходят к либо к маппед драйвс (криптолокер, криптовалл, теслакрипт), либо делают СМБ скан хоум-юз-онли диапазона (т.е. адресов 192.168.0.0/16 и т.п.), составляют список, пробуют если есть права на запись и шифруют всё что найдут (локи). Они быстро эволюционируют, кстати, возможно уже переняли способ локи, т.к. он более продвинутый.

Так вот у кого все документы зашифрованы -- тот и есть мудак.

From:

Тересная у вас специальность :) Не пошел во врачи - стопудово айтишником бы был :)

Спасибо.

From:

dac-khv.livejournal.com

Дык профессии очень схожи, особенно в диагностике :)

From:

Ну вот между двумя и выбирал, собсна :)

From:

В новостя попали. Вашингтон пост пишет.

https://www.washingtonpost.com/local/virus-infects-medstar-health-systems-computers-hospital-officials-say/2016/03/28/480f7d66-f515-11e5-a3ce-f06b5ba21f33_story.html

From:

Вроде как откупились уже, компы включены, система в read only пока, айтишники бегают по этажам, танцуют с бубнами.

From:

В смысле заплатили рэнсом? Или восстановили то что успелось зашифроваться из бэкапов, а компьютер-источник просто заменили?

From:

Заплатили.

From:

лоллирую

From:

Да я тоже, но работать таки неудобно, лишь бы быстрее вернули все в зад.

Вот тут скрин малвари: http://smnewsnet.com/archives/401539/many-medstar-st-marys-hospital-computers-infected-by-ransomware-virus/

From:

Это самсам. Вам неповезло, это один из наиболее опасных, т.к. сочетает в себе криптолокер и червь, т.е. мало того что шифрует, он сканирует локальную сеть на предмет типовых сервисов (СМБ и т.п.) и ищет уязвимости класса РЦЕ, если в госптале секьюрити патч менеджментом никто не занят, то серверы/рабстанции не проапдейчены, а раз в несколько месяцев бывает хороший РЦЕ, поэтому если патч левел систем отстаёт на более месяца (ПЦИ ДСС 3.0 требует не более 30 дней, ХИПАА, как обычно, отделывается общими рассуждениями про "ризонэбл"), то машины как правило легко заражаются, поэтому это действительно инфекция.

Т.е. в вашем случае оффендеров было как минимум несколько, пациента зеро впрочем найти тоже нетрудно по анализу логов и корреляции времени заражения.

ЗЫ ждём лосьюта по ХИПАА вайолэйшн, хехе, а также повышения цены транзакций по банковским картам, привет от ПЦИ ДСС

Edited Date: 2016-03-29 07:46 pm (UTC)

From:

Лео, у меня вопрос, как оно такое может вообще произойти, не подскажите?

Вот есть Hosipital Information System, которая крутится на N серверах, есть клиентские тачки, на которые стоят клиенты для сотрудников, не важно, полноценный это клиент или сраный браузер. Данные все лежат на серверах, в чем и смысл HIS.

Окей, как-то дятел протащили рансомварь, ну начала она шифровать "мои документы". Ну и срать, тащемто. Условно говоря - винт форматнули, новую винду, учётку, клиент и работай дальше, как-будто ничего и не было. Весь вред - простой конечного работника. Как оно может на сервер пролезть и пошифровать? С клиентской тачки вообще ничего нельзя потереть на сервере! Только своё, только ограничено и только чётко зная что и где. Ну там права пользователей, протоколы клиент-сервер, вот это вот всё. Ну и вообще, в РФ EHR тупо меняться не могут после подписи, вряд ли в US по другому.

Edited Date: 2016-03-29 08:46 pm (UTC)

From:

С медстаром всё боле-мене ясно, Кодак дал ссылку со скриншотом. Это самсам, который до сих пор распространялся через эксплуатацию РЦЕ уязвимостей в ЖБоссе. Т.е. это не фишинг, это к-л медстаровский веб-сайт доступный через энторнет, использующий жбосс в кач-ве аппликэйшн сервера, причём жбосс непропатчен, что ахтунг. Червь проникает на жбосс, если жбосс стоит на винде, далее сканирует сеть с правами юзера, из-под которого выполняется жбосс, и шифрует всё и уничтожает бэкапы. Если права юзера имеют админские права на других серверах -- он копирует туда себя и всё повторяется.

Самсам в этом плане отличается от прочих криптолокеров, большинство из которых доставляется через фишинг. Поэтому да, если это тупой простой юзер, то всё ограничивается моими документами и теми сетевыми папками, на которые у юзера есть права на запись. А вот если это админ... Или если шара, на которую складываются бэкапы, доступна всем подряд на запись... Или админ тупой и на инфицированном юзерском компе к-л прочекал чекбокс "сохранить юзер и пароль" и ввёл свои данные...

From:

Вот со стороны выглядит, что нужен не человек за 200К, а просто не идиот. Ибо это какие-то очевидные всё вещи.
Но возможно я чего-то не понял.

From:

Хакерам не нужно победить человека за 200к. Хакерам нужно победить простого юзера. Многие юзеры идиоты и с этим ничего поделать невозможно. Сл-но, в любой достаточно большой организации, всегда найдётся идиот, который откроет аттачмент от неизвестного отправителя и запустит вирус. Задача человека за 200к сделать так, чтобы ДАЖЕ в этих условиях, ущерба причинить не удалось, а это непросто.

From:

А у меня ещё вопрос!
Я не слышал про такие случаи в РФ.

Возможных объяснения мне видится три:
1. В US живут прекраснодушные американцы, которые за инфобезом не следят. А РФ, где человек человеку волк, всё гораздо серьёзнее.
2. Тут выкуп не заплатят.
3. Случаи случают, но по старой традиции сор из избы не выносят.

Как вариант верный?

From:

А они есть, я когда работал в РФ такие случаи встречал неоднократно.

Причин того, что в основном жертвы американцы, несколько.

Во-первых, таргетинг, различными техниками можно добиться, чтобы большинство жертв жили на территории США. Зачем этого добиваться? Потому что американцы богаты и наивны (об этом ещё ниже), сл-но, выше процент успешных компромайсов и выше процент людей, которые в итоге платят.

Во-вторых, да, американцы в среднем более наивны и уровень доверия между людьми в обществе гораздо выше, нежели в РФ. Подвоха, как правило, не ждут, и зря, конечно. Они с таким криминалом, по-большому счёту, сталкиваются только в интернет. Криминала в США сколько угодно, но как правило это криминал афроамериканского, пуэрториканского и мексиканского производства, а с ним, во-первых, существует довольно чёткая сегрегация -- криминал этот из своих гадюшников в приличные районы почти никогда не лезет, а к тому же криминал этого происхождения слишком туп для хакинга. По-большому счёту, 80% киберкриминалов это бывшие советские страны, преимущественно РФ и Украина, 10% Бразилия, 10% всё остальное. Есть ещё присутствие китайцев и израильтян, но это преимущественно правительственные программы, они редко где и когда гонятся за профитом. Например, все известные на сегодня и имеющие хоть какое-то значимое присутствие криптолокеры эрэфийского производства. Поэтому американцы в большинстве своём к этому просто не готовы.

В-третьих, вот, например, фрагмент кода криптолокера "Мактуб" (конечно, российского пр-ва):

Here's a memo that I've written to our infosec team, pointing out that we can use this as a countermeasure if we ever get hit heavily with this ransomware:

From a screenshot that Malwarebytes reverse engineer hasherezade provided in her report, it is clear, that the code cycles through all the values it gets. I assume that calling “GetKeyboardLayoutList” function returns values and places them to DS:ESI address space, then the virus compares first doubleword value to 419h, increments doubleword counter, loops through the process again until the counter is equal to a maximum memory address value of the returned address space. It *should* trigger the virus to do instruction on address 0F90E094 which is “jump if equal” and supposedly proceeds to skipping of calling encryption procedure (we don’t see it on a screenshot) IF an OS on which it runs has a Russian keyboard layout.

Therefore, if we configure russian layout on all endpoints using GP without language bar and without key combination to switch layouts we'll make our endpoints secure against encrypting portion of this malware.

From:

Какой добросовестный локер! :)

From:

Спасибо, познавательно

From:

yankel.livejournal.com

Хакер - это не только мозг, но и 2 почки, сердце, печень и прочее для донорства...

From: