Ransomvérové útoky a odporúčania k nim
Prinášame Vám aktuálny prehľad vektorov ransomvérových útokov a odporúčaní pre prevenciu a riešenie incidentu.
Aktuálne a štandardné vektory:
- V súčasnej dobe sú vo svete aktívne ransomvérové kampane viacerých kyberkriminálnych skupín, ktoré zneužívajú zraniteľnosti ZeroLogon a zraniteľnosti v mailserveroch MS Exchange. Odporúčame skontrolovať tieto servery na prítomnosť IoC, ktoré zverejnila spoločnosť Microsoft. Taktiež odporúčame skontrolovať podozrivú aktivitu v infraštruktúre (vznik nových účtov v AD, podozrivé pokusy o prihlásenie, …).
Odkaz na bližšie informácie k zraniteľnosti Zerologon: https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=368 - Odkazy na bližšie informácie k zraniteľnostiam v MS Exchange: https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=421
https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=405 - Útočníci taktiež aktuálne na šírenie ransomvéru zneužívajú zraniteľnosť CVE-2018-13379 v produkte Fortinet SSL VPN.
Odkaz na bližšie informácie: https://www.csirt.gov.sk/alerts-and-warnings-809.html?id=288 - Štandardným vektorom útoku je protokol RDP vystavený do internetu. Útočníci často skúšajú útoky typu bruteforce.
- Podobné nebezpečenstvo predstavuje používanie TeamViewer a podobného softvéru pre vzdialenú správu zariadení.
Jednotka CSIRT.SK odporúča nasledujúce opatrenia pri útoku:
- Nevypínať napadnuté zariadenie. V niektorých prípadoch sa v pamäti môže nachádzať dešifrovací kľúč. Vypnúť zariadenie len v prípade ak ho nie je možné odpojiť od dátovej siete.
- Odpojiť napadnuté zariadenie od internetu a lokálnej siete.
- Odpojiť sieťový segment, resp. celú sieť, ak nie je segmentovaná v prípade ak je napadnutých viac zariadení.
- Skontrolovať, či napadnuté zariadenie nekomunikovalo s ďalšími lokálnymi zariadeniami. Ak áno, urobiť kontrolu aj na nich a odpojiť všetky napadnuté zariadenia od internetu a lokálnej siete.
- Ak patríte do podsektoru Informačné systémy verejnej správy, nahlásiť incident na CSIRT.SK – incident@csirt.sk
Prevencia proti ransomvéru:
- Nastaviť proces zálohovania. Mať k dispozícii aj offline zálohy.
- Zakázať RDP vypublikované do internetu / povoliť prístup len cez VPN.
- Udržiavať operačný systém a aplikačný softvér aktualizované.
- Segmentácia siete – oddeľte servery, webové služby, počítače zamestnancov (VLAN).
- Dbať na správne nasadené antivírové riešenia na serveroch a pracovných staniciach.
- Nesťahovať podozrivé prílohy, neklikať na odkazy z podozrivých emailov. Vždy skontrolovať kam smeruje odkaz v prijatej emailovej správe (priložením myši). V prípade podozrenia na škodlivý mail pošlite daný mail na CSIRT.SK na analýzu.
- Mať vypnuté makrá v MS Office.
- Zapnúť logovanie aktivity Windows PowerShell. Zapnúť logovanie vytvorenia nového procesu (event ID 4688).
- Používať centrálne logovanie na osobitné úložisko. Ak to nie je možné, zvýšiť množstvo miesta na disku ktoré je využiteľné pre logy.
- Používateľským účtom obmedziť privilégiá. Administrátori by mali využívať privilegované účty len pre správu systémov, nie pre svoju bežnú prácu, ktorá nevyžaduje vyššie privilégiá.
- Používať komplexné a dlhé heslá (aspoň 16 znakov, napríklad slovenská veta s interpunkciou a medzerami). Pre každé konto používať iné heslo. Pokiaľ to je možné, použiť 2-faktorovú autentifikáciu.