rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Злоумышленники атакуют российские компании

Компания «Доктор Веб» сообщает об участившихся атаках на крупные российские организации. Злоумышленники шифруют файлы, но при этом не требуют выкупа и не оставляют свои контакты. В связи с этим эксперты «Доктор Веб» подготовили рекомендации по усилению безопасности ИТ-инфраструктуры на предприятиях.

Для получения доступа к данным преступники во всех известных экспертам «Доктор Веб» случаях используют практически идентичную отработанную схему. В настоящее время специалистам известны следующие её детали. Злоумышленники используют уязвимости ПО Microsoft Exchange: ProxyLogon (CVE-2021-26855) и ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). При этом в одном из случаев эксплуатация уязвимости для установки бэкдора произошла ещё в марте 2021-го. Также известно, что доступ к данным административной учетной записи мошенники получают с помощью дампа памяти процесса lsass.exe, используя утилиту ProcDump. Далее с полученной учетной записью администратора они подключаются к контроллеру домена, откуда начинают атаку, устанавливая на устройства в сети Bitlocker и Jetico BestCrypt Volume Encryption. Эти программы злоумышленники используют для шифрования жестких дисков.

В связи с участившимися случаями атак специалисты «Доктор Веб»  информируют о необходимости принятия дополнительных мер, направленных на усиление безопасности ИТ-инфраструктуры:

  • Установите актуальные обновления безопасности для ОС и ПО на серверах, доступных извне. При этом стоит помнить, что обновления, устанавливаемые из открытых репозиториев, могут содержать вредоносные программы. Поэтому перед загрузкой важно проверить файлы на содержание каких-либо потенциально опасных вставок.
  • Максимально сократите число ресурсов, которые доступны из интернета. Доступ к внутренним ресурсам должен осуществляться только с помощью VPN.
  • Если в вашей организации используется ПО Microsoft Exchange, то помимо установки обновлений следует провести аудит логов на предмет эксплуатации уязвимостей ProxyLogon и ProxyShell.
  • Если на каком-либо сервере разрешен RDP (удаленный доступ к рабочему столу) из интернета, то следует убедиться, что все аккаунты имеют криптостойкий пароль. Также нужно проверить, установлены ли все обновления безопасности, в том числе закрывающие уязвимость BlueKeep (CVE-2019-0708).
  • Проведите аудит учетных записей в домене: отключите неиспользуемые, установите криптостойкие пароли для всех активных учетных записей. Исключите использование простых паролей, вроде 123qwe, на учетных записях с правами администратора.
  • Используйте отдельную учетную запись для администрирования контроллеров домена. Другие учетные записи администраторов не должны иметь таких прав.
  • Запретите политиками безопасности использование ПО Jetico BestCrypt Volume Encryption (thumbprint: 5BE630C70AB00CE8928B31E4673EABD79BF43FFC).
  • Убедитесь, что антивирусное ПО находится в актуальном состоянии и работает на всех серверах, а также рабочих станциях.
  • Постарайтесь обеспечить постоянную работу дежурного инженера безопасности. Большинство атак происходит по ночам или в выходные.
  • Используйте сторонние носители, чтобы регулярно выполнять резервное копирование ценных данных. Ознакомьтесь с популярными методиками организации бэкапов для выбора наиболее оптимального варианта.
  • Обновите сертифицированную версию антивируса, если она устарела. 

Автор: Антон Соловьев (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

17.05.2022 Промышленные предприятия: защитить себя и соседнюю улицу

12.05.2022 Рынок ПК: начало падения

28.04.2022 Восемь лет тянули – пора уже импортозамещать

27.04.2022 Технологический суверенитет: огонь, вода и квантовые вычисления

19.04.2022 ИТ-бизнесу срочно нужен PR, а не айтишники

13.04.2022 Рынок ПК: на семи ветрах

07.04.2022 Пандемия замедлила рынок ШПД

25.03.2022 Выдержит ли цифровизация импортозамещение?

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода