В Абхазии участились атаки вирусов вымогателей таких как LokiLocker и BlackBit. Злоумышленники начинают свою деятельность, используя скомпрометированные (взломанные реквизиты для входа в систему) службы удаленного доступа, прежде всего, публично доступные терминальные серверы RDP (Remote Desktop Protocol).
Оба вируса шифруют файлы на машине и требуют большой выкуп для получения ключа, который позволит дешифровать файлы. Киберпреступники предлагают выйти на связь через электронную почту или Telegram. Если через заданное количество дней выкуп не выплачивается, вымогатель удаляет с компьютера все файлы!
Вирусы вымогатели с апреля 2022 года атаковали ресурсы компаний по всему миру. Больше всех пострадали представители малого и среднего бизнеса, работающие в сферах строительства, туризма и розничной торговли. Зафиксированы случаи поражения данных компаний и на территории Республики Абхазия.
В связи с вышеизложенным государственный комитет Республики Абхазия по связи рекомендует:
Прежде всего уделить должное внимание защиты сетевой инфраструктуры компании.
Регулярно осуществлять установку критических обновлений операционной системы и используемых программных продуктов.
Настроить стойкие парольные политики для локальных и доменных учетных записей. Убедиться в использовании различных паролей для локальных администраторов на всех хостах инфраструктуры.
При разграничении прав доступа руководствоваться принципом минимально необходимых привилегий в системе, уделяя особое внимание сервисным учетным записям, а также учетным записям, используемым для выполнения автоматизированных задач и удаленного доступа.
Организация с расширенной сетевой инфраструктурой проследить за тем, чтобы права на изменение файлов в директориях, где хранится критичная информация (документы пользователей, базы данных, и т.д.) выделялись отдельному пользователю, т.к. запущенный процесс шифровки файлов на скомпрометированном компьютере будет работать под определенным пользователем и если данный пользователь не имеет права доступа к важным файлам на локальном хосте или файлам сетевого расположения, то и вреда никакого не несет.
Обеспечить учащенное создание архивов баз данных и файлов с последующим переносом на носители и внешние расположения, в которых организована процедура разделения прав записи/чтения/изменения с тем, чтобы учетная запись из-под которого делается запись, не могла бы их же и изменить.
Запретить прямой доступ по протоколу RDP к рабочим станциям и серверам из-за пределов внутренней сети. Если же нет иной возможности, то изменить стандартный порт RDP 3398 скажем на 3390, а на маршрутизаторе компании создать IP(Internet Protocol) списки доступа хостов и IP сетей.
Обеспечить надежную защиту средств удаленного доступа в it-инфраструктуру, в том числе с помощью мульти факторной аутентификации.
Ограничить возможность использования личных устройств сотрудников для доступа в корпоративную сеть, в том числе через VPN или же применять списки доступа.
Обеспечить глубину хранения журналов событий операционной системы и средств защиты информации не менее 3 месяцев. Несанкционированное появление доменной учетной записи на отдельном хосте компании является важным сигналом к подготовке атаки. Ежедневный мониторинг состояния учетных записей позволит вовремя среагировать на готовящуюся атаку и минимизировать ущерб или не допустить вовсе. Для этого нужно настроить сбор Windows событий:
• успешных и неуспешных попыток входа;
• включение/отключение учетных записей, их блокировка;
• создание локальных и доменных учетных записей;
• добавление пользователей в группы, особенно предоставляющие повышенные привилегии;
• создание служб, процессов и задач в планировщике;
• изменение доменных и локальных политик безопасности;
• выполнение команд, при помощи различных командных интерпретаторов;
• критические срабатывания встроенного защитника Windows (Windows Defender);
• доступа к объектам общей сетевой папки;
• очистки журналов событий.