hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
4 grudnia 2018

Wraca SamSam

Department Bezpieczeństwa Narodowego USA (Department of Homeland Security, DHS) informuje o wzroście ataków przy użyciu ransomware SamSam. To liczące sobie już przeszło dwa i pół roku złośliwe oprogramowanie (pisaliśmy o nim już wtedy na Blogu Orange Polska) wraca, nieco – w końcu minęło sporo czasu – usprawnione. SamSam, atakujący przede m.in. infrastrukturę krytyczną, skupia się na terytorium USA, tym niemniej zdarzyły się przypadki, gdy opisywanym ransomwarem zostały dotknięte adresy IP z terenu Europy.

Co zrobić? Można by powiedzieć, że przede wszystkim uważać i nie klikać w dziwne maile, ale akurat w tym przypadku nie jest to takie proste. Im większa firma, tym większe ryzyko, że padnie ofiarą tego typu oprogramowania, wystarczy bowiem niefrasobliwość jednego pracownika, by następnie złośnik błyskawicznie rozprzestrzenił się, korzystając z podatności w protokole RDP. Dlatego jeśli jesteście odpowiedzialni za firmową sieć, warto wziąć pod uwagę rady i dobre praktyki rekomendowane przez DHS i FBI.

  • Sprawdź swoją sieć pod kątem używania protokołu RDP do zdalnej komunikacji. Wyłącz tam, gdzie nie jest niezbędny, bądź zainstaluj niezbędne łaty bezpieczeństwa
  • Upewnij się, czy żadna z umieszczonych w „chmurze” maszyn wirtualnych z publicznymi adresami IP nie ma otwartych portów RDP, przede wszystkim portu 3389. Systemy z otwartym RDP schowaj za firewallem i zezwalaj na dostęp do nich wyłącznie przy użyciu połączenia VPN
  • Wymuszaj silne hasła, stosuj polityki blokady konta przy próbie przełamania hasła metodą brute force
  • Wszędzie gdzie można, używaj uwierzytelniania dwuskładnikowego
  • Nie pomijaj uaktualnień systemu operacyjnego i oprogramowania
  • Pamiętaj, że ludzie dzielą się na tych, którzy robią backupy i tych, którzy będą je robić
  • Loguj zdarzenia w systemie (również próby połączeń przez RDP) i regularnie je przeglądaj pod kątem prób włamania
  • Upewnij się, że firmy zewnętrzne, którym niezbędne jest połączenie RDP do Twojej infrastruktury, przestrzegają ustalonych przez Ciebie polityk bezpieczeństwa
  • Zminimalizuj widoczność sieciową swojej infrastruktury, jeśli to możliwe, wyłącz RDP w systemach krytycznych
  • Ogranicz uprawnienia użytkowników w zakresie instalowania aplikacji, nie będących niezbędnymi
  • Obserwuj serwery pocztowe i skanuj maile pod kątem podejrzanych załączników, upewnij się, że rozszerzenie skanowanego załącznika zgadza się z nagłówkiem pliku
  • Wyłącz dostęp sieciowy do wspólnych katalogów i drukarek. Jeśli nie jest to możliwe, używaj silnego uwierzytelnienia lub autentykacji przez Active Directory

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 kwietnia 2024
Raport CERT Orange Polska za 2023 rok już jest!
Dowiedz się więcej
22 kwietnia 2024
Poznaj swoją podatność – XSS w Liferay
Dowiedz się więcej
19 kwietnia 2024
Jak stracić pieniądze dwa razy, czyli kancelaria jak z Incepcji
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas