Zaloguj się do usług
bezpieczeństwa
4 grudnia 2018
Wraca SamSam

Department Bezpieczeństwa Narodowego USA (Department of Homeland Security, DHS) informuje o wzroście ataków przy użyciu ransomware SamSam. To liczące sobie już przeszło dwa i pół roku złośliwe oprogramowanie (pisaliśmy o nim już wtedy na Blogu Orange Polska) wraca, nieco - w końcu minęło sporo czasu - usprawnione. SamSam, atakujący przede m.in. infrastrukturę krytyczną, skupia się na terytorium USA, tym niemniej zdarzyły się przypadki, gdy opisywanym ransomwarem zostały dotknięte adresy IP z terenu Europy.

Co zrobić? Można by powiedzieć, że przede wszystkim uważać i nie klikać w dziwne maile, ale akurat w tym przypadku nie jest to takie proste. Im większa firma, tym większe ryzyko, że padnie ofiarą tego typu oprogramowania, wystarczy bowiem niefrasobliwość jednego pracownika, by następnie złośnik błyskawicznie rozprzestrzenił się, korzystając z podatności w protokole RDP. Dlatego jeśli jesteście odpowiedzialni za firmową sieć, warto wziąć pod uwagę rady i dobre praktyki rekomendowane przez DHS i FBI.

  • Sprawdź swoją sieć pod kątem używania protokołu RDP do zdalnej komunikacji. Wyłącz tam, gdzie nie jest niezbędny, bądź zainstaluj niezbędne łaty bezpieczeństwa
  • Upewnij się, czy żadna z umieszczonych w "chmurze" maszyn wirtualnych z publicznymi adresami IP nie ma otwartych portów RDP, przede wszystkim portu 3389. Systemy z otwartym RDP schowaj za firewallem i zezwalaj na dostęp do nich wyłącznie przy użyciu połączenia VPN
  • Wymuszaj silne hasła, stosuj polityki blokady konta przy próbie przełamania hasła metodą brute force
  • Wszędzie gdzie można, używaj uwierzytelniania dwuskładnikowego
  • Nie pomijaj uaktualnień systemu operacyjnego i oprogramowania
  • Pamiętaj, że ludzie dzielą się na tych, którzy robią backupy i tych, którzy będą je robić
  • Loguj zdarzenia w systemie (również próby połączeń przez RDP) i regularnie je przeglądaj pod kątem prób włamania
  • Upewnij się, że firmy zewnętrzne, którym niezbędne jest połączenie RDP do Twojej infrastruktury, przestrzegają ustalonych przez Ciebie polityk bezpieczeństwa
  • Zminimalizuj widoczność sieciową swojej infrastruktury, jeśli to możliwe, wyłącz RDP w systemach krytycznych
  • Ogranicz uprawnienia użytkowników w zakresie instalowania aplikacji, nie będących niezbędnymi
  • Obserwuj serwery pocztowe i skanuj maile pod kątem podejrzanych załączników, upewnij się, że rozszerzenie skanowanego załącznika zgadza się z nagłówkiem pliku
  • Wyłącz dostęp sieciowy do wspólnych katalogów i drukarek. Jeśli nie jest to możliwe, używaj silnego uwierzytelnienia lub autentykacji przez Active Directory

Ostatnie aktualności

Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl