Кулхацкинг
Mar. 28th, 2016 03:17 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
kodak2004Походу, и до нас дошла волна блокировок. Инет в госпитале обрублен, все компы выключены, народ в ахуе - вся инфа, все назначения, все лабораторные и радиологические результаты в системе же. Работа парализована. Хопкинс тоже вроде как заражен.
Пользуясь случаем, передаю привет Лео :)
Upd.: Ломающие новости: http://baltimore.cbslocal.com/2016/03/28/fbi-probing-virus-behind-outage-at-medstar-health-facilities/
Пользуясь случаем, передаю привет Лео :)
Upd.: Ломающие новости: http://baltimore.cbslocal.com/2016/03/28/fbi-probing-virus-behind-outage-at-medstar-health-facilities/
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2016-03-29 08:45 pm (UTC)Вот есть Hosipital Information System, которая крутится на N серверах, есть клиентские тачки, на которые стоят клиенты для сотрудников, не важно, полноценный это клиент или сраный браузер. Данные все лежат на серверах, в чем и смысл HIS.
Окей, как-то дятел протащили рансомварь, ну начала она шифровать "мои документы". Ну и срать, тащемто. Условно говоря - винт форматнули, новую винду, учётку, клиент и работай дальше, как-будто ничего и не было. Весь вред - простой конечного работника. Как оно может на сервер пролезть и пошифровать? С клиентской тачки вообще ничего нельзя потереть на сервере! Только своё, только ограничено и только чётко зная что и где. Ну там права пользователей, протоколы клиент-сервер, вот это вот всё. Ну и вообще, в РФ EHR тупо меняться не могут после подписи, вряд ли в US по другому.
no subject
Date: 2016-03-29 09:03 pm (UTC)Самсам в этом плане отличается от прочих криптолокеров, большинство из которых доставляется через фишинг. Поэтому да, если это тупой простой юзер, то всё ограничивается моими документами и теми сетевыми папками, на которые у юзера есть права на запись. А вот если это админ... Или если шара, на которую складываются бэкапы, доступна всем подряд на запись... Или админ тупой и на инфицированном юзерском компе к-л прочекал чекбокс "сохранить юзер и пароль" и ввёл свои данные...
no subject
Date: 2016-03-31 07:32 pm (UTC)Но возможно я чего-то не понял.
no subject
Date: 2016-03-31 08:01 pm (UTC)no subject
Date: 2016-04-01 05:57 pm (UTC)Я не слышал про такие случаи в РФ.
Возможных объяснения мне видится три:
1. В US живут прекраснодушные американцы, которые за инфобезом не следят. А РФ, где человек человеку волк, всё гораздо серьёзнее.
2. Тут выкуп не заплатят.
3. Случаи случают, но по старой традиции сор из избы не выносят.
Как вариант верный?
no subject
Date: 2016-04-01 06:23 pm (UTC)А они есть, я когда работал в РФ такие случаи встречал неоднократно.
Причин того, что в основном жертвы американцы, несколько.
Во-первых, таргетинг, различными техниками можно добиться, чтобы большинство жертв жили на территории США. Зачем этого добиваться? Потому что американцы богаты и наивны (об этом ещё ниже), сл-но, выше процент успешных компромайсов и выше процент людей, которые в итоге платят.
Во-вторых, да, американцы в среднем более наивны и уровень доверия между людьми в обществе гораздо выше, нежели в РФ. Подвоха, как правило, не ждут, и зря, конечно. Они с таким криминалом, по-большому счёту, сталкиваются только в интернет. Криминала в США сколько угодно, но как правило это криминал афроамериканского, пуэрториканского и мексиканского производства, а с ним, во-первых, существует довольно чёткая сегрегация -- криминал этот из своих гадюшников в приличные районы почти никогда не лезет, а к тому же криминал этого происхождения слишком туп для хакинга. По-большому счёту, 80% киберкриминалов это бывшие советские страны, преимущественно РФ и Украина, 10% Бразилия, 10% всё остальное. Есть ещё присутствие китайцев и израильтян, но это преимущественно правительственные программы, они редко где и когда гонятся за профитом. Например, все известные на сегодня и имеющие хоть какое-то значимое присутствие криптолокеры эрэфийского производства. Поэтому американцы в большинстве своём к этому просто не готовы.
В-третьих, вот, например, фрагмент кода криптолокера "Мактуб" (конечно, российского пр-ва):
Here's a memo that I've written to our infosec team, pointing out that we can use this as a countermeasure if we ever get hit heavily with this ransomware:
From a screenshot that Malwarebytes reverse engineer hasherezade provided in her report, it is clear, that the code cycles through all the values it gets. I assume that calling “GetKeyboardLayoutList” function returns values and places them to DS:ESI address space, then the virus compares first doubleword value to 419h, increments doubleword counter, loops through the process again until the counter is equal to a maximum memory address value of the returned address space. It *should* trigger the virus to do instruction on address 0F90E094 which is “jump if equal” and supposedly proceeds to skipping of calling encryption procedure (we don’t see it on a screenshot) IF an OS on which it runs has a Russian keyboard layout.
Therefore, if we configure russian layout on all endpoints using GP without language bar and without key combination to switch layouts we'll make our endpoints secure against encrypting portion of this malware.
no subject
Date: 2016-04-01 06:28 pm (UTC)no subject
Date: 2016-04-02 04:44 am (UTC)