Ransomvérové útoky a odporúčania k nim

Prinášame Vám aktuálny prehľad vektorov ransomvérových útokov a odporúčaní pre prevenciu a riešenie incidentu.

Aktuálne a štandardné vektory:

• V súčasnej dobe sú vo svete aktívne ransomvérové kampane viacerých kyberkriminálnych skupín, ktoré zneužívajú zraniteľnosti ZeroLogon a zraniteľnosti v mailserveroch MS Exchange. Odporúčame skontrolovať tieto servery na prítomnosť IoC, ktoré zverejnila spoločnosť Microsoft. Taktiež odporúčame skontrolovať podozrivú aktivitu v infraštruktúre (vznik nových účtov v AD, podozrivé pokusy o prihlásenie, …).
  Odkaz na bližšie informácie k zraniteľnosti Zerologon: https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=368
• Odkazy na bližšie informácie k zraniteľnostiam v MS Exchange: https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=421
  https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=405
• Útočníci taktiež aktuálne na šírenie ransomvéru zneužívajú zraniteľnosť CVE-2018-13379 v produkte Fortinet SSL VPN.
  Odkaz na bližšie informácie: https://www.csirt.gov.sk/alerts-and-warnings-809.html?id=288
• Štandardným vektorom útoku je protokol RDP vystavený do internetu. Útočníci často skúšajú útoky typu bruteforce.
• Podobné nebezpečenstvo predstavuje používanie TeamViewer a podobného softvéru pre vzdialenú správu zariadení.

Jednotka CSIRT.SK odporúča nasledujúce opatrenia pri útoku:

• Nevypínať napadnuté zariadenie. V niektorých prípadoch sa v pamäti môže nachádzať dešifrovací kľúč. Vypnúť zariadenie len v prípade ak ho nie je možné odpojiť od dátovej siete.
• Odpojiť napadnuté zariadenie od internetu a lokálnej siete.
• Odpojiť sieťový segment, resp. celú sieť, ak nie je segmentovaná v prípade ak je napadnutých viac zariadení.
• Skontrolovať, či napadnuté zariadenie nekomunikovalo s ďalšími lokálnymi zariadeniami. Ak áno, urobiť kontrolu aj na nich a odpojiť všetky napadnuté zariadenia od internetu a lokálnej siete.
• Ak patríte do podsektoru Informačné systémy verejnej správy, nahlásiť incident na CSIRT.SK – incident@csirt.sk

Prevencia proti ransomvéru:

• Nastaviť proces zálohovania. Mať k dispozícii aj offline zálohy.
• Zakázať RDP vypublikované do internetu / povoliť prístup len cez VPN.
• Udržiavať operačný systém a aplikačný softvér aktualizované.
• Segmentácia siete – oddeľte servery, webové služby, počítače zamestnancov (VLAN).
• Dbať na správne nasadené antivírové riešenia na serveroch a pracovných staniciach.
• Nesťahovať podozrivé prílohy, neklikať na odkazy z podozrivých emailov. Vždy skontrolovať kam smeruje odkaz v prijatej emailovej správe (priložením myši). V prípade podozrenia na škodlivý mail pošlite daný mail na CSIRT.SK na analýzu.
• Mať vypnuté makrá v MS Office.
• Zapnúť logovanie aktivity Windows PowerShell. Zapnúť logovanie vytvorenia nového procesu (event ID 4688).
• Používať centrálne logovanie na osobitné úložisko. Ak to nie je možné, zvýšiť množstvo miesta na disku ktoré je využiteľné pre logy.
• Používateľským účtom obmedziť privilégiá. Administrátori by mali využívať privilegované účty len pre správu systémov, nie pre svoju bežnú prácu, ktorá nevyžaduje vyššie privilégiá.
• Používať komplexné a dlhé heslá (aspoň 16 znakov, napríklad slovenská veta s interpunkciou a medzerami). Pre každé konto používať iné heslo. Pokiaľ to je možné, použiť 2-faktorovú autentifikáciu.