Тесты цифровой техники

Эволюция партнерства: экосистема, как единый организм


	Переход на NNIT.ru


	Переход на MSKIT.ru

Новости на NNIT Новости на MSKIT

Злоумышленники атакуют российские компании

07.04.2022 12:14
версия для печати

Компания «Доктор Веб» сообщает об участившихся атаках на крупные российские организации. Злоумышленники шифруют файлы, но при этом не требуют выкупа и не оставляют свои контакты. В связи с этим эксперты «Доктор Веб» подготовили рекомендации по усилению безопасности ИТ-инфраструктуры на предприятиях.

Для получения доступа к данным преступники во всех известных экспертам «Доктор Веб» случаях используют практически идентичную отработанную схему. В настоящее время специалистам известны следующие её детали. Злоумышленники используют уязвимости ПО Microsoft Exchange: ProxyLogon (CVE-2021-26855) и ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). При этом в одном из случаев эксплуатация уязвимости для установки бэкдора произошла ещё в марте 2021-го. Также известно, что доступ к данным административной учетной записи мошенники получают с помощью дампа памяти процесса lsass.exe, используя утилиту ProcDump. Далее с полученной учетной записью администратора они подключаются к контроллеру домена, откуда начинают атаку, устанавливая на устройства в сети Bitlocker и Jetico BestCrypt Volume Encryption. Эти программы злоумышленники используют для шифрования жестких дисков.

В связи с участившимися случаями атак специалисты «Доктор Веб» информируют о необходимости принятия дополнительных мер, направленных на усиление безопасности ИТ-инфраструктуры:

Установите актуальные обновления безопасности для ОС и ПО на серверах, доступных извне. При этом стоит помнить, что обновления, устанавливаемые из открытых репозиториев, могут содержать вредоносные программы. Поэтому перед загрузкой важно проверить файлы на содержание каких-либо потенциально опасных вставок.
Максимально сократите число ресурсов, которые доступны из интернета. Доступ к внутренним ресурсам должен осуществляться только с помощью VPN.
Если в вашей организации используется ПО Microsoft Exchange, то помимо установки обновлений следует провести аудит логов на предмет эксплуатации уязвимостей ProxyLogon и ProxyShell.
Если на каком-либо сервере разрешен RDP (удаленный доступ к рабочему столу) из интернета, то следует убедиться, что все аккаунты имеют криптостойкий пароль. Также нужно проверить, установлены ли все обновления безопасности, в том числе закрывающие уязвимость BlueKeep (CVE-2019-0708).
Проведите аудит учетных записей в домене: отключите неиспользуемые, установите криптостойкие пароли для всех активных учетных записей. Исключите использование простых паролей, вроде 123qwe, на учетных записях с правами администратора.
Используйте отдельную учетную запись для администрирования контроллеров домена. Другие учетные записи администраторов не должны иметь таких прав.
Запретите политиками безопасности использование ПО Jetico BestCrypt Volume Encryption (thumbprint: 5BE630C70AB00CE8928B31E4673EABD79BF43FFC).
Убедитесь, что антивирусное ПО находится в актуальном состоянии и работает на всех серверах, а также рабочих станциях.
Постарайтесь обеспечить постоянную работу дежурного инженера безопасности. Большинство атак происходит по ночам или в выходные.
Используйте сторонние носители, чтобы регулярно выполнять резервное копирование ценных данных. Ознакомьтесь с популярными методиками организации бэкапов для выбора наиболее оптимального варианта.
Обновите сертифицированную версию антивируса, если она устарела.