Ransomvérové útoky a odporúčania ku ním

Prinášame Vám aktuálny prehľad vektorov ransomvérových útokov a odporúčaní pre prevenciu a riešenie incidentu.

Aktuálne a štandardné vektory:

Jednotka CSIRT.SK odporúča nasledujúce opatrenia pri útoku:

  • Nevypínať napadnuté zariadenie. V niektorých prípadoch sa v pamäti môže nachádzať dešifrovací kľúč. Vypnúť zariadenie len v prípade ak ho nie je možné odpojiť od dátovej siete.
  • Odpojiť napadnuté zariadenie od internetu a lokálnej siete.
  • Odpojiť sieťový segment, resp. celú sieť, ak nie je segmentovaná v prípade ak je napadnutých viac zariadení.
  • Skontrolovať, či napadnuté zariadenie nekomunikovalo s ďalšími lokálnymi zariadeniami. Ak áno, urobiť kontrolu aj na nich a odpojiť všetky napadnuté zariadenia od internetu a lokálnej siete.
  • Ak patríte do podsektoru Informačné systémy verejnej správy, nahlásiť incident na CSIRT.SK – incident@csirt.sk

Prevencia proti ransomvéru:

  • Nastaviť proces zálohovania. Mať k dispozícii aj offline zálohy.
  • Zakázať RDP vypublikované do internetu / povoliť prístup len cez VPN.
  • Udržiavať operačný systém a aplikačný softvér aktualizované.
  • Segmentácia siete – oddeľte servery, webové služby, počítače zamestnancov (VLAN).
  • Dbať na správne nasadené antivírové riešenia na serveroch a pracovných staniciach.
  • Nesťahovať podozrivé prílohy, neklikať na odkazy z podozrivých emailov. Vždy skontrolovať kam smeruje odkaz v prijatej emailovej správe (priložením myši). V prípade podozrenia na škodlivý mail pošlite daný mail na CSIRT.SK na analýzu.
  • Mať vypnuté makrá v MS Office.
  • Zapnúť logovanie aktivity Windows PowerShell. Zapnúť logovanie vytvorenia nového procesu (event ID 4688).
  • Používať centrálne logovanie na osobitné úložisko. Ak to nie je možné, zvýšiť množstvo miesta na disku ktoré je využiteľné pre logy.
  • Používateľským účtom obmedziť privilégiá. Administrátori by mali využívať privilegované účty len pre správu systémov, nie pre svoju bežnú prácu, ktorá nevyžaduje vyššie privilégiá.
  • Používať komplexné a dlhé heslá (aspoň 16 znakov, napríklad slovenská veta s interpunkciou a medzerami). Pre každé konto používať iné heslo. Pokiaľ to je možné, použiť 2-faktorovú autentifikáciu.