DD
а никто и не обязан в паблик выводить такую информацию.
Size: a a a
2020 March 06
AS
Dmitry Darensky
а никто и не обязан в паблик выводить такую информацию.
Не обязан, но поделиться TTP/TI (sanitized) с отраслью, с целью помочь предотвратить подобное у других, было бы благородно
AS
“one organization’s detection to become another’s prevention”
AS
Кстати Norsk Hydro и ее партнеры до сих пор таким полезным ничем не поделились 🙁
DD
Не обязан, но поделиться TTP/TI (sanitized) с отраслью, с целью помочь предотвратить подобное у других, было бы благородно
у подобных благородных поступков риски могут быть запредельные. потому и не делятся публично.
AS
Dmitry Darensky
у подобных благородных поступков риски могут быть запредельные. потому и не делятся публично.
Это какие же риски расскажи?
A
Всем привет. Сообщаю. Пострадали площадки в Канаде и США. Вирус Ryuk. Зашифровал Windows системы. Часть производства встала, т.к. завязана на корпоративные системы. Были попытки пройти по сети в РФ. Но системы защиты Ips, fw, av, soc) заблокировали на подлёте. В Америке проект разделения сетей не закончен. Антивирус Mcafee не справился. Сейчас работают по восстановлению сервисов из бекапов.
AC
Andrew Nuikin
Всем привет. Сообщаю. Пострадали площадки в Канаде и США. Вирус Ryuk. Зашифровал Windows системы. Часть производства встала, т.к. завязана на корпоративные системы. Были попытки пройти по сети в РФ. Но системы защиты Ips, fw, av, soc) заблокировали на подлёте. В Америке проект разделения сетей не закончен. Антивирус Mcafee не справился. Сейчас работают по восстановлению сервисов из бекапов.
👍
A
Вектор заражения предварительно фишинг.
A
Опасных производств там нет (типа домен, конвертеров и т.д.).
A
Сейчас думаю будем накатывать на них все проекты по защите как в РФ.
22
Вот это уже хорошо.спасибо за информацию.
O
Andrew Nuikin
Всем привет. Сообщаю. Пострадали площадки в Канаде и США. Вирус Ryuk. Зашифровал Windows системы. Часть производства встала, т.к. завязана на корпоративные системы. Были попытки пройти по сети в РФ. Но системы защиты Ips, fw, av, soc) заблокировали на подлёте. В Америке проект разделения сетей не закончен. Антивирус Mcafee не справился. Сейчас работают по восстановлению сервисов из бекапов.
Спасибо! Ищите Emotet и Trickbot, то, что США и Канада - неудивительно, оператору Рюка не работают по RU почти. Если нужна помощь - обращайтесь. Если уже удалось установить, как распространяли рансомварь?
22
Армы шифрованые есть?БД от Ерп или мес пострадали? требования выкупа было официально?
A
Требование по моему стандартно на компы кладут. Мес зацепило. Поэтому производство встало.
O
Andrew Nuikin
Требование по моему стандартно на компы кладут. Мес зацепило. Поэтому производство встало.
Обычно данные для связи
A
Тонкости пока не знаю. Mcafee сказали , что расшифровать не смогут.
O
Расшифровать то понятно, что не смогут, тем более McAfee)
A
Unix не пострадал. Так что Ораклы всякие живы.
AL
2 2
У нас не притензии, у нас живой интерес. В прошлый раз инфы не дали и опять. А ведь интересно все разобрать,чтобы на себя спроецировать
Рюк накрывает с десяток (а то и больше) компаний на дню - про каждую писать что-ли? TTP почти не меняются от компании к компании - https://www.auscert.org.au/blog/2019-10-09-ryuk-ransomware-and-action-summary-information, в отличие от конкретных IOC, так они часто уникальные для каждой жертвы. Чем там делиться-то?
