Riasztás PHOBOS zsarolóvírus terjedéséről

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet riasztást ad ki PHOBOS ransomware megnövekedett terjedésével kapcsolatban. Az NBSZ NKI tapasztalatai alapján a zsarolóvírus terjedése az elmúlt időszakban fokozódó jelenlétet mutat. Az hazai és nemzetközi partnerektől származó információk alapján a zsarolóvírus elsődleges célpontjai vállalatok és szervezetek, ugyanakkor a magánszemélyek érintettsége is növekvő tendenciát mutat.

A PHOBOS zsarolóvírus terjedésére vonatkozóan az alábbi módszerek ismertek:

  • Nyitott, vagy nem biztonságos távoli asztali kapcsolaton (RDP; port 3389) keresztül;
  • RDP hitelesítő adatok brute-force támadásával;
  • kiszivárgott, vagy megszerzett RDP hitelesítő adatok segítségével;
  • valamint klasszikus és jól bevált adathalász technika segítségével.

A támadások sikerességének csökkentése érdekében, kiemelt tekintettel a távoli asztali elérést biztosító szolgáltatásokra az NBSZ NKI az alábbi kockázatcsökkentő / megelőző intézkedések mihamarabbi megtételét javasolja:

  • Az RDP kiszolgáló beállítása, hogy publikus IP címekről tiltva legyen a TCP3389 port elérése.
  • Amennyiben szükséges RDP elérés, a hozzáférés korlátozása megadott IP címekre.
  • RDP hozzáférés és hozzáférési kísérletek naplózásának beállítása.
  • Felhasználói fiókok zárolására vonatkozó házirend kialakítása.
  • Megfelelő biztonsági mentési és visszaállítási stratégia kidolgozása.
  • Katasztrófa utáni helyreállítási terv kidolgozása.
  • Amennyiben lehetséges, többfaktoros azonosítás engedélyezése az RDP bejelentkezéshez.
  • A nyitott portok alapértelmezett értékeinek megváltoztatása megnehezíti az automatákkal végzett letapogatást, így a szolgáltatás támadásokkal szembeni kitettsége is csökkenthető.
  • Nyitott portok felülvizsgálata, a szükségtelen portok bezárása, a szükséges portok fokozott felügyelete, naplózása.
  • A gyakori portok internet irányából történő elérésének korlátozása (megadott IP címekről, bizonyos felhasználók számára).
  • Üzemeltetéshez használt portok (SSH, RDP, Telnet, LDAP, NTP, SMB, stb.) külső hálózatból történő elérésének tiltása, üzemeltetési feladatok ellátásához javasolt a rendszerek VPN kapcsolaton keresztül történő elérése.
  • Határvédelmi rendszerek szoftvereinek naprakészen tartása.
  • Alkalmazások és operációs rendszerek naprakészen tartása.
  • Határvédelmi eszközök feketelistájának frissítése (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
  • A szükségtelen felhasználók felfüggesztése, a távoli eléréssel rendelkező felhasználók szükséges mértékre történő csökkentése, felhasználók jogosultságainak időszakos felülvizsgálata.
  • Jelszavak kötelező periodikus cseréje, szigorú jelszóházirend alkalmazása mellett.
  • Rendszeres online és offline (szalagos egység, külső merevlemez) biztonsági mentés, archiválás.

Biztonsági incidens bekövetkezése esetén az NBSZ NKI javasolja:

  • Az érintett eszköz hálózatról történő leválasztását.
  • Az érintett adathordozók helyreállítása előtt bitazonos másolat készítését.
  • Incidens bejelentését az NBSZ NKI részére a CSIRT@nki.gov.hu e-mail címen.

A fentiekben megfogalmazott javaslatok végrehajtása nem csak a PHOBOS ransomware, hanem minden olyan zsarolóvírus esetében jelentősen csökkentik a biztonsági esemény bekövetkeztét, amelyeket RDP segítségével juttatnak a támadók a rendszerbe.

További hivatkozások: