Об этом рассказал telegram-канал «Сайберсекьюрити и Ко» (данная запись уже отсутствовала на момент публикации). Представитель ФСК подтвердил подлинность письма «Ведомостям».

Компания попросила директоров региональных филиалов ограничить доступ пользователей корпоративной сети к интернету на 10 дней  —  с 4 по 14 августа — и напомнила, что в указанный период не стоит открывать вложения и переходить по ссылкам от неизвестных отправителей, присланные по электронной почте. ФСК предполагает, что в ближайшее время возможна кибератака с применением вирусов-шифровальщиков, направленная на отказ в обслуживании элементов вычислительной инфраструктуры.

Как рассказал представитель компании «Ведомостям», это превентивная мера, часть обычной практики по обеспечению кибербезопасности пользователей корпоративной сети: все последние громкие вирусные атаки были направлены на компьютеры административного персонала и были успешными именно из-за низкой информированности работников. Почему ФСК предупредила менеджмент именно сейчас, компания не сообщила.

Следы подготовки к крупной атаке часто видны.

Автор «Сайберсекьюрити и Ко» и специалист по кибербезопасности Александр Литреев объясняет, что следы подготовки к крупной атаке часто видны: при помощи специальных программных средств компании имеют возможность отслеживать подозрительную активность на своих серверах. Когда кто-то интересуется открытыми портами на этих серверах, это может свидетельствовать о возможно готовящейся атаке. По словам Литреева, меры, которые принимает ФСК, могут помочь при пассивной атаке с использованием социальной инженерии, когда авторы вируса рассчитывают на действия со стороны пользователя. Существуют также и активные атаки, когда действий пользователя не требуется, и в этом случае компании следует принимать более серьезные меры защиты.

Совсем недавно компания Talos Intelligence опубликовала отчёт, в котором указала на «атаку, основанную на рассылке писем по электронной почте, которая по-новому реализует фишинг с использованием классических документов Word». В отчёте Talos утверждается, что целью данной атаки являются объекты энергетической инфраструктуры. Присылаемые документы Word часто представляют собой резюме или информационные материалы, что вынуждает открывать эти файлы.

По результатам анализа атак, совершенных по такому сценарию, Talos Intelligence отмечает важность контроля внутрисетевого трафика (с недопущением возникновения исходящего трафика по протоколу SMB) и ряд других мер, в частности определение правил обработки входящей электронной почты, блокирующих внедрение шаблонов извне в будущем. [medium.com/@staslandau, vedomosti.ru]