ПОЛЬЗОВАТЕЛЯМ

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

Злоумышленники атакуют российские компании

7 апреля 2022

Компания «Доктор Веб» сообщает об участившихся атаках на крупные российские организации. Злоумышленники шифруют файлы, но при этом не требуют выкупа и не оставляют свои контакты. В связи с этим мы подготовили рекомендации по усилению безопасности ИТ-инфраструктуры на предприятиях.

Для получения доступа к данным преступники во всех известных нам случаях используют практически идентичную отработанную схему. В настоящее время нашим специалистам известны следующие её детали. Злоумышленники используют уязвимости ПО Microsoft Exchange: ProxyLogon (CVE-2021-26855) и ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). При этом в одном из случаев эксплуатация уязвимости для установки бэкдора произошла ещё в марте 2021-го. Также известно, что доступ к данным административной учетной записи мошенники получают с помощью дампа памяти процесса lsass.exe, используя утилиту ProcDump. Далее с полученной учетной записью администратора они подключаются к контроллеру домена, откуда начинают атаку, устанавливая на устройства в сети Bitlocker и Jetico BestCrypt Volume Encryption. Эти программы злоумышленники используют для шифрования жестких дисков.

В связи с участившимися случаями атак информируем о необходимости принятия дополнительных мер, направленных на усиление безопасности ИТ-инфраструктуры:

  • Установите актуальные обновления безопасности для ОС и ПО на серверах, доступных извне. При этом стоит помнить, что обновления, устанавливаемые из открытых репозиториев, могут содержать вредоносные программы. Поэтому перед загрузкой важно проверить файлы на содержание каких-либо потенциально опасных вставок.
  • Максимально сократите число ресурсов, которые доступны из интернета. Доступ к внутренним ресурсам должен осуществляться только с помощью VPN.
  • Если в вашей организации используется ПО Microsoft Exchange, то помимо установки обновлений следует провести аудит логов на предмет эксплуатации уязвимостей ProxyLogon и ProxyShell.
  • Если на каком-либо сервере разрешен RDP (удаленный доступ к рабочему столу) из интернета, то следует убедиться, что все аккаунты имеют криптостойкий пароль. Также нужно проверить, установлены ли все обновления безопасности, в том числе закрывающие уязвимость BlueKeep (CVE-2019-0708).
  • Проведите аудит учетных записей в домене: отключите неиспользуемые, установите криптостойкие пароли для всех активных учетных записей. Исключите использование простых паролей, вроде 123qwe, на учетных записях с правами администратора.
  • Используйте отдельную учетную запись для администрирования контроллеров домена. Другие учетные записи администраторов не должны иметь таких прав.
  • Запретите политиками безопасности использование ПО Jetico BestCrypt Volume Encryption (thumbprint: 5BE630C70AB00CE8928B31E4673EABD79BF43FFC).
  • Убедитесь, что антивирусное ПО находится в актуальном состоянии и работает на всех серверах, а также рабочих станциях.
  • Постарайтесь обеспечить постоянную работу дежурного инженера безопасности. Большинство атак происходит по ночам или в выходные.
  • Используйте сторонние носители, чтобы регулярно выполнять резервное копирование ценных данных. Ознакомьтесь с популярными методиками организации бэкапов для выбора наиболее оптимального варианта.
  • Обновите сертифицированную версию антивируса, если она устарела. При отсутствии требования использовать сертифицированную версию установите релизную 13-ю версию комплекса Dr.Web Enterprise Security Suite. Она содержит множество ключевых обновлений относительно последней сертифицированной 11-й версии. Одно из нововведений Dr.Web Enterprise Security Suite 13 — предотвращение несанкционированного удаления антивируса.

Следуйте этим рекомендациям, чтобы защитить рабочую сеть от компрометации. Эти простые правила помогут сохранить ИТ-инфраструктуру компании в безопасности.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web
Опыт разработки с 1992 года
Dr.Web пользуются в 200+ странах мира
Более 71% дохода компании — продажи бизнес-клиентам
Круглосуточная поддержка на русском языке

Dr.Web © «Доктор Веб»
2003 — 2022

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А