Bad Rabbit использовал АНБ-эксплойт EternalRomance для распространения

Bad Rabbit использовал АНБ-эксплойт EternalRomance для распространения

Bad Rabbit использовал АНБ-эксплойт EternalRomance для распространения

Благодаря анализу исследователей Cisco Talos и F-Secure появились новые интересные детали – эксперты обнаружили использование АНБ-эксплойта EternalRomance в атаках вымогателя Bad Rabbit.

Сначала анализ специалистов показал, что вредоносный код использует протокол Server Message Block (SMB) для распространения в сети. Также в прошлых исследованиях утверждалось, что Bad Rabbit не использовал эксплойт EternalBlue.

А последние данные Cisco Talos показывают, что в атаках вымогателя Bad Rabbit использовался другой эксплойт - EternalRomance.

«В настоящее время у нас нет доказательств того, что эксплойт EternalBlue был как-либо задействован в атаках вымогателя Bad Rabbit. Однако мы отметили использование эксплойта EternalRomance для распространения в сети. Этот эксплойт использует уязвимость, описанную в бюллетене по безопасности Microsoft MS17-010. Эта брешь также была использована во время кампании Nyetya», - говорится в анализе, опубликованном командой Cisco Talos.

Уязвимость, используемая EternalRomance, была исправлена Microsoft в марте 2017 года с выпуском бюллетеня по безопасности MS17-010, в котором также были устранены бреши для эксплойтов EternalChampion, EternalBlue и EternalSynergy.

Все эти эксплойты связывают с Агентством национальной безопасности США (АНБ), хакерская группа Shadow Brokers в начале этого года раскрыла часть арсенала АНБ, содержащего инструменты взлома и эксплойты.

Также стоить отметить, что многие эксперты видят много общего между вредоносами Bad Rabbit и NotPetya.

Последние исследования экспертов также выявили еще один интересный момент – запуск атак Bad Rabbit, судя по всему, планировалось осуществить на несколько месяцев раньше. Некоторые из скомпрометированных доменов, использованных в атаке, были созданы еще в июле 2017 года.

В Битрикс24 добавили вход по коду из электронной почты

В облачной версии «Битрикс24» появился ещё один вариант двухфакторной аутентификации: теперь подтверждать вход можно с помощью кода, отправленного на электронную почту.

Ранее пользователям были доступны одноразовые коды из приложения-аутентификатора, пуш-уведомления и СМС.

Новый способ пригодится компаниям, где сотрудники по разным причинам не используют отдельные приложения для 2FA или не всегда могут получить сообщение на телефон.

Двухфакторная аутентификация добавляет к логину и паролю ещё один этап проверки. Даже если злоумышленник получил учётные данные через фишинговое письмо, утечку или звонок от имени «техподдержки», войти в аккаунт без дополнительного кода будет сложнее.

При этом электронная почта как второй фактор требует осторожности. Если злоумышленник уже контролирует почтовый ящик пользователя, такой способ защиты не поможет. Поэтому для наиболее важных аккаунтов надёжнее использовать приложение-аутентификатор или подтверждение на отдельном устройстве.

В ближайшее время аналогичная функция должна появиться и в коробочной версии «Битрикс24». Кроме того, компания планирует сделать двухфакторную аутентификацию обязательной для организаций на облачных тарифах «Профессиональный» и «Энтерпрайз».

RSS: Новости на портале Anti-Malware.ru