Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2020 - 31.12.2020
 

Graf

Ransomvérové útoky a odporúčania ku ním

16.04.2021
Prinášame Vám aktuálny prehľad vektorov ransomvérových útokov a odporúčaní pre prevenciu a riešenie incidentu.

 

Aktuálne a štandardné vektory:

  • V súčasnej dobe sú vo svete aktívne ransomvérové kampane viacerých kyberkriminálnych skupín, ktoré zneužívajú zraniteľnosti ZeroLogon a zraniteľnosti v mailserveroch MS Exchange. Odporúčame skontrolovať tieto servery na prítomnosť IoC, ktoré zverejnila spoločnosť Microsoft. Taktiež odporúčame skontrolovať podozrivú aktivitu v infraštruktúre (vznik nových účtov v AD, podozrivé pokusy o prihlásenie, ...).
    Odkaz na bližšie informácie k zraniteľnosti Zerologon: https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=368
  • Odkazy na bližšie informácie k zraniteľnostiam v MS Exchange: https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=421
    https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=405
  • Útočníci taktiež aktuálne na šírenie ransomvéru zneužívajú zraniteľnosť CVE-2018-13379 v produkte Fortinet SSL VPN.
    Odkaz na bližšie informácie: https://www.csirt.gov.sk/alerts-and-warnings-809.html?id=288
  • Štandardným vektorom útoku je protokol RDP vystavený do internetu. Útočníci často skúšajú útoky typu bruteforce.
  • Podobné nebezpečenstvo predstavuje používanie TeamViewer a podobného softvéru pre vzdialenú správu zariadení.

     

Jednotka CSIRT.SK odporúča nasledujúce opatrenia pri útoku:

  • Nevypínať napadnuté zariadenie. V niektorých prípadoch sa v pamäti môže nachádzať dešifrovací kľúč. Vypnúť zariadenie len v prípade ak ho nie je možné odpojiť od dátovej siete.
  • Odpojiť napadnuté zariadenie od internetu a lokálnej siete.
  • Odpojiť sieťový segment, resp. celú sieť, ak nie je segmentovaná v prípade ak je napadnutých viac zariadení.
  • Skontrolovať, či napadnuté zariadenie nekomunikovalo s ďalšími lokálnymi zariadeniami. Ak áno, urobiť kontrolu aj na nich a odpojiť všetky napadnuté zariadenia od internetu a lokálnej siete.
  • Ak patríte do podsektoru Informačné systémy verejnej správy, nahlásiť incident na CSIRT.SK – incident@csirt.sk

     

Prevencia proti ransomvéru:

  • Nastaviť proces zálohovania. Mať k dispozícii aj offline zálohy.
  • Zakázať RDP vypublikované do internetu / povoliť prístup len cez VPN.
  • Udržiavať operačný systém a aplikačný softvér aktualizované.
  • Segmentácia siete – oddeľte servery, webové služby, počítače zamestnancov (VLAN).
  • Dbať na správne nasadené antivírové riešenia na serveroch a pracovných staniciach.
  • Nesťahovať podozrivé prílohy, neklikať na odkazy z podozrivých emailov. Vždy skontrolovať kam smeruje odkaz v prijatej emailovej správe (priložením myši). V prípade podozrenia na škodlivý mail pošlite daný mail na CSIRT.SK na analýzu.
  • Mať vypnuté makrá v MS Office.
  • Zapnúť logovanie aktivity Windows PowerShell. Zapnúť logovanie vytvorenia nového procesu (event ID 4688).
  • Používať centrálne logovanie na osobitné úložisko. Ak to nie je možné, zvýšiť množstvo miesta na disku ktoré je využiteľné pre logy.
  • Používateľským účtom obmedziť privilégiá. Administrátori by mali využívať privilegované účty len pre správu systémov, nie pre svoju bežnú prácu, ktorá nevyžaduje vyššie privilégiá.
  • Používať komplexné a dlhé heslá (aspoň 16 znakov, napríklad slovenská veta s interpunkciou a medzerami). Pre každé konto používať iné heslo. Pokiaľ to je možné, použiť 2-faktorovú autentifikáciu.

     



<< zoznam aktualít