7 апреля 2022

Компания «Доктор Веб» сообщает об участившихся атаках на крупные российские организации. Злоумышленники шифруют файлы, но при этом не требуют выкупа и не оставляют свои контакты. В связи с этим мы подготовили рекомендации по усилению безопасности ИТ-инфраструктуры на предприятиях.

Для получения доступа к данным преступники во всех известных нам случаях используют практически идентичную отработанную схему. В настоящее время нашим специалистам известны следующие её детали. Злоумышленники используют уязвимости ПО Microsoft Exchange: ProxyLogon (CVE-2021-26855) и ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). При этом в одном из случаев эксплуатация уязвимости для установки бэкдора произошла ещё в марте 2021-го. Также известно, что доступ к данным административной учетной записи мошенники получают с помощью дампа памяти процесса lsass.exe, используя утилиту ProcDump. Далее с полученной учетной записью администратора они подключаются к контроллеру домена, откуда начинают атаку, устанавливая на устройства в сети Bitlocker и Jetico BestCrypt Volume Encryption. Эти программы злоумышленники используют для шифрования жестких дисков.

В связи с участившимися случаями атак информируем о необходимости принятия дополнительных мер, направленных на усиление безопасности ИТ-инфраструктуры:

• Установите актуальные обновления безопасности для ОС и ПО на серверах, доступных извне. При этом стоит помнить, что обновления, устанавливаемые из открытых репозиториев, могут содержать вредоносные программы. Поэтому перед загрузкой важно проверить файлы на содержание каких-либо потенциально опасных вставок.
• Максимально сократите число ресурсов, которые доступны из интернета. Доступ к внутренним ресурсам должен осуществляться только с помощью VPN.
• Если в вашей организации используется ПО Microsoft Exchange, то помимо установки обновлений следует провести аудит логов на предмет эксплуатации уязвимостей ProxyLogon и ProxyShell.
• Если на каком-либо сервере разрешен RDP (удаленный доступ к рабочему столу) из интернета, то следует убедиться, что все аккаунты имеют криптостойкий пароль. Также нужно проверить, установлены ли все обновления безопасности, в том числе закрывающие уязвимость BlueKeep (CVE-2019-0708).
• Проведите аудит учетных записей в домене: отключите неиспользуемые, установите криптостойкие пароли для всех активных учетных записей. Исключите использование простых паролей, вроде 123qwe, на учетных записях с правами администратора.
• Используйте отдельную учетную запись для администрирования контроллеров домена. Другие учетные записи администраторов не должны иметь таких прав.
• Запретите политиками безопасности использование ПО Jetico BestCrypt Volume Encryption (thumbprint: 5BE630C70AB00CE8928B31E4673EABD79BF43FFC).
• Убедитесь, что антивирусное ПО находится в актуальном состоянии и работает на всех серверах, а также рабочих станциях.
• Постарайтесь обеспечить постоянную работу дежурного инженера безопасности. Большинство атак происходит по ночам или в выходные.
• Используйте сторонние носители, чтобы регулярно выполнять резервное копирование ценных данных. Ознакомьтесь с популярными методиками организации бэкапов для выбора наиболее оптимального варианта.
• Обновите сертифицированную версию антивируса, если она устарела. При отсутствии требования использовать сертифицированную версию установите релизную 13-ю версию комплекса Dr.Web Enterprise Security Suite. Она содержит множество ключевых обновлений относительно последней сертифицированной 11-й версии. Одно из нововведений Dr.Web Enterprise Security Suite 13 — предотвращение несанкционированного удаления антивируса.

Следуйте этим рекомендациям, чтобы защитить рабочую сеть от компрометации. Эти простые правила помогут сохранить ИТ-инфраструктуру компании в безопасности.