Поделиться
«Доктор Веб»: участились атаки на крупные российские организации
«Доктор Веб» сообщила об участившихся атаках на крупные российские организации. Злоумышленники шифруют файлы, но при этом не требуют выкупа и не оставляют свои контакты. В связи с этим специалисты компании подготовили рекомендации по усилению безопасности ИТ-инфраструктуры на предприятиях.
Для получения доступа к данным преступники во всех известных «Доктор Веб» случаях используют практически идентичную отработанную схему. В настоящее время специалистам известны следующие её детали. Злоумышленники используют уязвимости ПО Microsoft Exchange: ProxyLogon (CVE-2021-26855) и ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). При этом в одном из случаев эксплуатация уязвимости для установки бэкдора произошла ещё в марте 2021 г. Также известно, что доступ к данным административной учетной записи мошенники получают с помощью дампа памяти процесса lsass.exe, используя утилиту ProcDump. Далее с полученной учетной записью администратора они подключаются к контроллеру домена, откуда начинают атаку, устанавливая на устройства в сети Bitlocker и Jetico BestCrypt Volume Encryption. Эти программы злоумышленники используют для шифрования жестких дисков.
В связи с участившимися случаями атак «Доктор Веб» рекомендует принять дополнительные меры, направленные на усиление безопасности ИТ-инфраструктуры: установите актуальные обновления безопасности для ОС и ПО на серверах, доступных извне. При этом стоит помнить, что обновления, устанавливаемые из открытых репозиториев, могут содержать вредоносные программы. Поэтому перед загрузкой важно проверить файлы на содержание каких-либо потенциально опасных вставок; максимально сократите число ресурсов, которые доступны из интернета. Доступ к внутренним ресурсам должен осуществляться только с помощью VPN; если в вашей организации используется ПО Microsoft Exchange, то помимо установки обновлений следует провести аудит логов на предмет эксплуатации уязвимостей ProxyLogon и ProxyShell; если на каком-либо сервере разрешен RDP (удаленный доступ к рабочему столу) из интернета, то следует убедиться, что все аккаунты имеют криптостойкий пароль. Также нужно проверить, установлены ли все обновления безопасности, в том числе закрывающие уязвимость BlueKeep (CVE-2019-0708); проведите аудит учетных записей в домене: отключите неиспользуемые, установите криптостойкие пароли для всех активных учетных записей. Исключите использование простых паролей, вроде 123qwe, на учетных записях с правами администратора; используйте отдельную учетную запись для администрирования контроллеров домена. Другие учетные записи администраторов не должны иметь таких прав; запретите политиками безопасности использование ПО Jetico BestCrypt Volume Encryption (thumbprint: 5BE630C70AB00CE8928B31E4673EABD79BF43FFC); убедитесь, что антивирусное ПО находится в актуальном состоянии и работает на всех серверах, а также рабочих станциях; постарайтесь обеспечить постоянную работу дежурного инженера безопасности. Большинство атак происходит по ночам или в выходные; используйте сторонние носители, чтобы регулярно выполнять резервное копирование ценных данных. Ознакомьтесь с популярными методиками организации бэкапов для выбора наиболее оптимального варианта; обновите сертифицированную версию антивируса, если она устарела. При отсутствии требования использовать сертифицированную версию установите релизную 13 версию комплекса Dr.Web Enterprise Security Suite. Она содержит множество ключевых обновлений относительно последней сертифицированной 11 версии. Одно из нововведений Dr.Web Enterprise Security Suite 13 — предотвращение несанкционированного удаления антивируса.
Поделиться
Короткая ссылка
