Перейти к основному контенту

Работа в Интернет 17.07.2024

О мерах по повышению защищенности информационной инфраструктуры

Департамент цифрового развития Минобрнауки России (далее – Департамент) сообщает, по результатам анализа сведений об угрозах безопасности информации и деятельности хакерских группировок, проводимого специалистами ФСТЭК России в условиях сложившейся обстановки, выявлены сведения о деятельности хакерских группировок.

С использованием одноразовых аккаунтов осуществляются фишинговые рассылки:

  • Сообщений, содержащие во вложении вредоносные самораспаковывающиеся архивы, например:
    • «Выписка_об_обьектах_по_состоянию_на_25_05_2024_ДНР_ЛНР_Запорожская_Херсонская.pdf.exe»,
    • «Список_к_представлению_к_государственным_наградам_Командующему_группировки_войск_сил.pdf.exe»
    • «Выписка_из_осведомленности_ВСУ_о_состоянии_и_положении_объектов_ВС_РФ_по_состоянию_на_13.06.2024.exe»,

посредством мессенджера Telegram. Злоумышленники действуют от лица представителя вооруженных сил Российской Федерации (подполковника из войсковой части) с просьбой открыть вложение на компьютере.

  • От имени федеральных ведомств осуществляется распространение вредоносного программного обеспечения под видом легитимных документов, например, «Материалы выемки, дополнительные данные пароль 18062024 (открывать с WinRar).zip».
  • Осуществляется распространение вредоносного программного обеспечения типа «троян» (Ozon RAT), маскирующегося под электронные копии трудовых книжек граждан, например, «Трудовая книга.docx.exe» и «Копия трудовой.docx.exe».
  • Электронных писем с темами «Счет на оплату» от лица дочернего предприятия РЖД. Во вложении находится архив «счет на оплату.rar», внутри которого содержится исполняемый файл, представляющий собой вредоносное программное обеспечение, после открытия которого осуществляется несанкционированный доступ к атакуемой системе
  • Электронные письма рассылаются с темами «Contract/Договор» и содержат архив «Contract.bz», внутри которого находится исполняемый файл, представляющий собой вредоносное программное обеспечение. После запуска исполняемого файла происходит внедрение SnakeLogger с последующей эксфильтрацией данных скомпрометированной системы.
  • Электронных писем с темами «Новый заказ на поставку / Запрос на поставку промышленных материалов_(PO_1044733)» от лица ИП Лейченко Б.В. В письме предлагается просмотреть документ о заказе на поставку и прислать коммерческое предложение. Во вложении находится архив «Заказ на покупку_PO_1044733_«МПРОФИЛЬ», ИП Лейченко Б.В.zip», содержащий файл «Заказ на покупку_PO_1044733_«М-ПРОФИЛЬ», ИП Лейченко Б.В.iso», который является экземпляром «стилера» Lokibot. После открытия указанного файла осуществляется несанкционированный доступ к атакуемой системе с последующей кражей информации.
  • Электронных писем, содержащих во вложениях вредоносный архив «Promautomatic.zip». В тексте письма злоумышленники сообщали, что отправили запрос на получение коммерческого предложения. В указанном архиве содержатся: Scan_Promautomatic_1218_07_03.07.2024_ annexe.pdf — документ-приманка и Scan_Promautomatic_1218_07_03.07. 2024_annexe.pdf.exe — экземпляр вредоносного программного обеспечения DarkGate. После открытия указанного исполняемого файла осуществляется несанкционированный доступ к атакуемой системе.

Осуществляются атаки с использованием вредоносного программного обеспечения типа «шифровальщик». В качестве первоначального доступа злоумышленники используют уязвимости публичных приложений (например, Zimbra), а также скомпрометированные учетные данные атакуемых организации, либо их партнеров или подрядчиков. Получив несанкционированный доступ к инфраструктуре, злоумышленники осуществляют шифрование данных с целью получения выкупа.

Управление цифровизации МГТУ рекомендует:

  1. Ограничить работу сотрудников на рабочих местах, имеющих доступ к инфраструктуре, с использованием мессенджеров, в том числе Telegram.
  2. Проверять имя домена отправителя электронного письма в целях идентификации отправителя. Для этого необходимо обращать внимание на наименование почтового адреса (домена), указанного после символа «@», и сопоставлять его с адресами (доменами) органов (организаций), с которыми осуществляется служебная переписка.
  3. Не открывать и не загружать почтовые вложения писем с тематикой, не относящейся к деятельности органа (организации).
  4. Реализовать парольную политику с учетом того, что длина пароля должна быть не менее 10 символов, пароль должен содержать буквы верхнего и нижнего регистра (А-Я, A-Z, а-я, a-z), специальные символы (!, », №, %, *, /) и в пароле не должно быть персонифицированной информации (имен, адресов, даты рождения, телефонов).

В случае получения подозрительного письма просим направить информацию об инциденте на адрес электронной почты: upr_it@mkgtu.ru, с пометкой «подозрение на вирус»

Начальник управления цифровизации Яковлев А.Л.

Нет комментариев
Наверх