IT Biztonsági hírek

A hét IT biztonsági tanácsa

 

A célzott zsarolóvírus támadások során több hét, vagy akár hónap is eltelhet az adott rendszerhez történő kezdeti hozzáférés és az állományok tényleges titkosításának megkezdése között. A köztes időben a támadók lépésről-lépésre feltérképezik az érintett infrastruktúrát, és gyenge pontokat keresve igyekeznek hozzáférni minél több munkaállomáshoz.

A kezdeti fertőzés nagyon sok esetben gyenge jelszóval védett RDP fiókokon keresztül, vagy egy célzott adathalász e-maillel történik. A támadás megelőzéséhez javasolt az RDP fiókok biztonsági hardeningje amelyről például az NBSZ NKI  vonatkozó riasztásában találhat hasznos javaslatokat.

A ransomware támadások következő, felderítő fázisban a támadók sok esetben olyan hálózati felderítő (port) szkennereket használnak, mint az  AngryIP, vagy például az Advanced Port Scanner. Ezek észlelése esetén javasolt azonnal alapos kivizsgálást végezni. Ugyanígy jelentős figyelmeztető jel a hackerek körében nagy népszerűségnek örvendő MimiKatz, vagy a  Microsoft Process Explorer észlelése, amelyeket például jelszavak, hitelesítő adatok ellopására használnak.

A támadások tipikus célpontja a központi címtárszolgáltatás (Microsoft környezetben Active Directory) amelyen céljuk lehet saját adminisztrátori fiók létrehozása. Ennek birtokában már hozzákezdhetnek a biztonsági szoftverek lekapcsolásához/eltávolításához például olyan legitim szoftverek segítségével, mint a Process Hacker, az IOBit Uninstaller, a GMER, vagy például a PC Hunter. Szintén gyakori a PowerShell rosszindulatú alkalmazása. Ezzel kapcsolatban javasolt áttekinteni a CERT-EU által összeállított fehér könyvet, amely “B” függelékében a PowerShell rosszindulatú alkalmazásra utaló indikátorokat is tartalmaz.

Közvetlenül a titkosítás megkezdése előtt már olyan szembeötlő lépésekre lehet számítani, mint az Active Directory és a domain controllerek leállítása, a biztonsági mentések megsemmisítése, patch management rendszerek kikapcsolása.

Forrás: zdnet.com

Segíthetünk? Lépjen kapcsolatba velünk!

Hatósági bejelentés

Nemzeti Elektronikus Információbiztonsági Hatóság
Székhely: 1022 Budapest, Törökvész út 32-34.
Levelezési cím: 1399 Budapest 62. Pf. 710/37.
Telefon: +36 (1) 206-9320
Fax: +36 (1) 206-9329
E-mail: info@neih.gov.hu
Hivatali kapu rövid neve: NEIH (KRID: 313910359)
Intézetvezető: dr. Bencsik Balázs

Incidens bejelentés

Incidens bejelentéshez kattintson a következő gombra:

Incidens bejelentés

Incidens bejelentés anonim módon

Anonim incidens bejelentéshez kattintson a következő gombra:

Anonim incidens bejelentés

NKI által kezelt incidensekre vonatkozó statisztikai adatok

Támadástípusok eloszlása 2020.08.07. - 2020.08.13.

Incidensek eloszlása kockázati besorolás szerint 2020.087.07. - 2020.08.13.