Új Snatch zsarolóvírus terjed
A Sophos, kiberbiztonsági szakértő a napokban publikálta a „Snatch Zsarolóvírus Reboots PCs into Safe Mode to Bypass Protection” elemzését, magyarul “A Snatch zsarolóvírus csökkentett módban indítja újra a PC-ket, hogy megkerülje a védelmet”.
A Snatch legújabban módszere az, hogy csökkentett módon újraindítja a fertőzött gépeket, így megkerüli a végpontvédelmet, és észrevétlenül titkosítja a fájlokat.
A Snatch mögött álló digitális bűnözők el is lopják az adatokat, mielőtt a zsarolóvírus támadás megkezdődik. Ez más zsarolóvírus csoportoknál is megfigyelhető volt, például a Bitpaymernél is. A Sophos arra számít, hogy a zsarolóvírus támadás előtti adatlopás trendje folytatódik.
A Snatch jó példa az automatizált aktív támadásra, melyet szintén említ a SophosLabs 2020-as Threat Reportja. Miután a támadók a távoli hozzáférést biztosító szolgáltatások kijátszásával megszerzik a belépéshez szükséges adatokat, manuális hacking módszerekkel laterálisan mozognak és károkat okoznak. A Snatch jelentés elmagyarázza, hogy a támadók a nem biztonságos IT szolgáltatásokon, például a távoli hozzáférést nyújtó alkalmazásokon keresztül lépnek be a rendszerbe. Ilyen szolgáltatás például a Remote Desktop Protocol (távoli asztal, RDP) is, de nem csak azt használják. A jelentés arra is mutat példákat, hogy a Snatch támadói potenciális partnereket toboroznak a dark web fórumain, akik képesek távoli hozzáférést biztosító szolgáltatások feltörésére.
Védelmi tanácsok a Sophostól
● Legyen a kezdeményező fél a fenyegetések elleni harcban: alkalmazzon egy külső vagy belső biztonsági szakértőkből álló csapatot, amely a nap 24 órájában figyeli a lehetséges veszélyeket.
● Az endpoint biztonság terén alkalmazzon gépi tanulásos/deep learning, aktív támadók elleni (active adversary mitigation) és viselkedéselemző módszereket.
● Ahol lehet, azonosítsa és deaktiválja a nyilvános internet irányából elérhető távoli hozzáférést biztosító szolgáltatásokat.
● Ha távoli hozzáférés szükséges, használjon VPN-t a bevált gyakorlat szerint kétlépcsős hitelesítéssel, jelszóauditokkal, precíz hozzáférési beállításokkal, illetve figyelje aktívan a távoli hozzáféréseket.
● A nyilvános internet irányából elérhető távoli hozzáféréssel rendelkező szerverek javításai mindig legyenek a lehető legfrissebbek, megelőző védelmi megoldásokkal legyenek biztosítva (mint például endpoint védelmi szoftverrel) és aktívan figyeljék rajtuk a rendhagyó bejelentkezéseket vagy más, szokatlan tevékenységeket.
● A távoli hozzáférést biztosító szolgáltatásba bejelentkezett felhasználók jogosultságait limitálni kell a nagyvállalati hálózat további részein.
● Az adminisztrátoroknak javasolt a többlépcsős azonosítás és a normál felhasználói fiókjuktól különválasztott adminisztratív fiók használata.
● Aktívan monitorozza a nyitott RDP portokat a publikus IP tartományokban!
KALKULÁTORUNKKAL (csak kattints rá) MOST KISZÁMOLHATOD, HOGY:
- Mekkora az agyad a magyar átlaghoz képest?
- Mekkora lenne az ideális vérnyomásod?
- Mennyi pénzt kellene keresned, ha rendesen megfizetnék a tudásodat?