ABŞ Govt, davam edən Dridex Zərərli Hücumları ilə əlaqədar Maliyyə Xidmətlərini xəbərdar edir

https://www.bleepstatic.com/content/hl-images/2019/07/30/CISA_Ransomware.jpg

Daxili Təhlükəsizlik Departamenti, bu gün maliyyə xidmətləri sektorundakı təşkilatlara, Phide e-poçt spam kampaniyaları vasitəsi ilə özəl sektor maliyyə şirkətlərini hədəf alan Dridex zərərli proqram hücumlarından qaynaqlanan riskləri xəbərdar etdi.

Uyarı ABŞ-ın Milli Kiber Məlumatlandırma Sistemi vasitəsi ilə Kiber Təhlükəsizliyi və İnfrastruktur Təhlükəsizliyi Agentliyi (CISA) tərəfindən cari təhlükəsizlik mövzuları və təhdidləri haqqında sənaye və istifadəçilərə məlumat vermək üçün hazırlanan bir vasitə tərəfindən yayımlandı.

"Dridex zərərli proqramı və onun törəmələrindən istifadə edən aktyorlar maliyyə qurumları və müştərilər də daxil olmaqla maliyyə xidmətləri sektorunu hədəf almağa davam etdikləri üçün bu hesabatdakı texnika, taktika və prosedurlar diqqəti yeniləməyə zəmanət verdi" dedi. deyir.

"Xəzinədarlıq və CISA şəbəkə təhlükəsizliyi mütəxəssislərini bu göstəriciləri mövcud Dridex ilə əlaqəli şəbəkə müdafiə imkanlarına və planlaşdırma daxil etməsinə təşviq edir."

Bu gün verilən xəbərdarlıq, həmçinin "FinCEN-ə verilən məlumatlardan əldə edilən əvvəlcədən bildirilməmiş kompromis göstəricilərinin siyahısı" ilə gəlir.

Zərərlərin azaldılması tədbirləri və zərərli proqram fəaliyyətinin hesabatı

Dridex bank Trojan fəaliyyətini aşkar etmək və potensial hücumların qarşısını almaq üçün təhlükəsizlik idarəçilərini şirkətlərinin müdafiə vasitələrini konfiqurasiya etməkdən əlavə, CISA da riskləri azaltmaq üçün tədbirlərin siyahısını təqdim edir.

CISA-ya görə, aşağıda sadalanan yumşaltma tövsiyələri xüsusi olaraq Dridex Taktikaları, Texnikaları və Prosedurları (TTP) həll etmək üçün hazırlanmışdır:

Makrosların icrasına mane olmaq üçün təminat sistemləri standart olaraq təyin olunur.
• Fiş mesajlarının görünüşü, xüsusən də keçmişdə zərərli proqramların yayılması üçün hakerlər tərəfindən istifadə olunanlar barədə işçilərə məlumat verin və öyrədin.
Zərərli proqram və yükləyicilərin ən son variantlarının daxil olmasını təmin etmək üçün müdaxilələrin aşkarlanması və qarşısının alınması sistemlərini tez-tez yeniləyin.
• Ehtiyat nüsxələrinin potensial ransomware hücumundan qorunmasını təmin edərək məlumatların müntəzəm olaraq ehtiyat nüsxəsini aparın.
• Fiş mesajlarına və icazəsiz müdaxilələrə işçilərin reaksiyasını həyata keçirin.
• Mesajların doğruluğuna dair hər hansı bir şübhə varsa, artıq bir nömrədə və ya e-poçt ünvanından istifadə edərək mesaj göndərənlə zəng edin və təsdiq edin.
• Xəzinədarlıq və CISA istifadəçilərə və idarəçilərə öz təşkilat sistemlərinin təhlükəsizlik vəziyyətini gücləndirmək üçün aşağıdakı ən yaxşı təcrübələrdən istifadə etmələrini xatırladır:
• Ən son antivirus imzaları və mühərriklərini qoruyun.
• Əməliyyat sistemi yamalarını aktuallaşdırın.
• Fayl və printer paylaşma xidmətlərini deaktiv edin. Bu xidmətlər tələb olunarsa, güclü şifrələrdən və ya Active Directory identifikasiyasından istifadə edin.
• İstenmeyen proqram tətbiqlərini quraşdırmaq və işlətmək üçün istifadəçilərin imkanlarını (icazələrini) məhdudlaşdırın. Tələb olunmadıqda istifadəçiləri yerli idarəçilər qrupuna əlavə etməyin.
• Güclü bir parol siyasətini tətbiq edin və müntəzəm parol dəyişikliklərini tələb edin.
E-poçt qoşmalarını açarkən, qoşmanın gözlənildiyi və göndəricinin məlum olduğu görünsə də ehtiyatlı olun.
• İş stansiyalarında fərdi bir firewall aktivləşdirin və istənməyən əlaqə tələblərini rədd etmək üçün konfiqurasiya edin.
• Agentliyin iş stansiyaları və serverlərindəki lazımsız xidmətləri aradan buraxın.
• Şübhəli e-poçt qoşmalarını tarayın və çıxarın; Taranan əlavənin onun "əsl fayl növü" olduğundan əmin olun (yəni genişləndirmə fayl başlığına uyğun gəlir).
• İstifadəçilərin veb tarama vərdişlərinə nəzarət etmək; əlverişsiz məzmunlu saytlara girişi məhdudlaşdırın.
• Çıkarılabilir mediadan (məsələn, USB barmaq diskləri, xarici disklər, CD) istifadə edərkən ehtiyatlı olun.
• İnternetdən yüklənmiş bütün proqramları icra etməzdən əvvəl tarayın.
• Son təhlükələr barədə situativ məlumatlılığı qorumaq.
• Uyğun giriş nəzarət siyahılarını həyata keçirin.
• Kibermühafizə prosedurları və əməliyyat planlarının davamlılığı, kiber hadisəsi zamanı və ondan sonra cavab vermə qabiliyyətini artırmaq və saxlamaq.

DHS, həmçinin Dridex bankirinin hücumuna məruz qalmış təşkilatlara və istifadəçilərə Dridex ilə əlaqəli zərərli fəaliyyətlərdən şübhələnən təşkilatlara və MDB və ya FTB ilə əlaqə qurmaq üçün aşağıdakı əlaqə məlumatlarından istifadə edərək texniki yardım və ya hadisə üçün reaksiya mənbələri tələb edir:

• CISA ([email protected] və ya 888-282-0870),

FTB yerli sahə ofisi vasitəsi ilə (https://www.fbi.gov/contact-us/field-offices),

• FTB-nin Kiber Şöbəsi ([email protected] və ya 855-292-3937).

Dridex bank Trojan zərərli proqramı

Dridex inkişaf etmiş və modul bir bank Trojan ilk dəfə 2014-cü ildə görüldü və davamlı olaraq yeniləndi, bu gün də CISA'nın xəbərdar etdiyi kimi Avropa və Şimali Amerikadan geniş hədəf hədəf alan kampaniyalarda nümunələr hələ də aşkarlanmaqdadır.

"Modullar ekran görüntülərini çəkmək, virtual maşın kimi fəaliyyət göstərmək və ya qurban maşınını botnetə daxil etmək üçün müddəaları ehtiva edir", – MDB bildirir.

"Tarixi və inkişafı boyunca, Dridex, sənədlərin dəyişdirilməsi, imtiyazları artırmaq üçün sistem bərpası və məlumatların çıxarılması üçün həmyaşıdlarla ünsiyyəti asanlaşdırmaq üçün təhlükəsizlik duvarı qaydalarının dəyişdirilməsi də daxil olmaqla bir sıra istismar və icra üsullarından istifadə etmişdir."

Zərərli proqramın əsas istifadəsi bank məlumatlarını oğurlamaqdır və bu, ən azı 2014-cü ilin üçüncü rübündən bəri aktiv olduğu TA505 təhlükə qrupuna (aka SectorJ04 Group) aid edilmişdir.1, 2).

Yükləndikdən və aktiv olduqdan sonra, Dridex, əlavə proqram yükləməkdən virtual bir şəbəkə qurmağa qədər faylların silinməsinə qədər geniş imkanlara malikdir. Maliyyə fəaliyyətində əsas təhlükə Dridex-in brauzerlərə nüfuz etməsi, onlayn bank tətbiqetmələrinə və veb saytlarına girişi aşkarlamaq və zərərli proqram və ya keylogging proqramı, API-nin köməyi ilə müştəri giriş məlumatlarını oğurlamaq imkanıdır. Dridex modulları, daha yeni versiyalarda göründüyü kimi, XML formatında və ya ikili formatda həmyaşıd (pe2-to-peer) (P2P) şəbəkələri vasitəsilə ələ keçirilən məlumatları, ekran görüntülərini və s. Giriş məlumatlarını oğurladıqdan sonra, təcavüzkarlar saxta avtomatlaşdırılmış klirinq evi (ACH) və tel köçürmələri asanlaşdırmaq, saxta hesablar açmaq və zərərçəkmiş hesablarını biznes e-poçt kompromisi və ya pul qaçırma fəaliyyətləri ilə əlaqəli digər hilekarlıklara uyğunlaşdırma potensialına sahibdirlər. – CISA

TA505, əsasən, Necurs botnetindən istifadə edərək başlatdıqları iri ölçülü zərərli spam kampaniyalarından istifadə edərək pərakəndə şirkətlərə və maliyyə qurumlarına hücum etməklə məşhurdur.

Hacking qrupunun malspam kampaniyaları uzaq giriş troyanlarını paylayarkən müşahidə edilmişdir (RAT-lər) və zərərli proqram yükləyənlər bu Dridex və Trick bank Trojanlarını ikincil yükləmə dərəcəsi olaraq, hədəflərinin kompüterlərindəki Locky, BitPaymer və Jaff ransomware kimi endirdi. (1, 2)

Zərərli proqram səhnəsindəki ilk görünüşündən bəri, Dridex müəllifləri "Atom Bombing injection texnikası, veb enjeksiyonları kimi çox inkişaf etmiş funksiyaları Chrome və Microsoft Word sıfır günlük istismar, " görə Zərərli proqram təhlili xidmətinə ANY.RUN.

Dridex zərərli proqramının imkanları və DHS tərəfindən bu gün yayımlanan xəbərdarlıqda təsvir olunan fəaliyyətlə əlaqəli kompromis göstəricilərinin siyahısı (IOC) siyahısı MDB-nin hesabatında mövcuddur.

IOC-lərin yüklənən nüsxələri də mövcuddur buradaburada, CSV və STIX formatlarında.