Центр кибербезопасности УЦСБ (Уральский центр систем безопасности) зафиксировал новую волну хакерских атак на российские компании. Злоумышленники APT-группировки BO Team рассылают письма с угрозами и требованиями перевода денежных средств в биткоинах. Преступники сообщают, что ИТ-инфраструктура компании подверглась атаке, и если не заплатить выкуп, то бизнесу будет нанесен значительный ущерб — вплоть до полной потери данных и вывода систем из строя. Об этом CNews сообщили представители УЦСБ.
Эксперты УЦСБ не рекомендуют вступать в переговоры и платить выкуп, так как злоумышленники часто не выполняют обещания и даже после оплаты шифруют инфраструктуру или публикуют украденные данные. Кроме того, каждый перевод группировкам — это поддержка киберпреступности.
Специалисты Центра кибербезопасности УЦСБ подготовили чек-лист на случай подозрения компрометации ИТ-инфраструктуры компании.
Установить антивирусное ПО, отличное от штатного Windows Defender, и обновить на нем антивирусные базы. Провести принудительную проверку всех узлов сети антивирусным ПО от разных разработчиков.
Вывести из домена серверы управления антивируса. Провести ревизию и аудит учетных записей на всех серверах, рабочих местах, контроллере домена и сетевых устройствах. Удалить неиспользуемые.
Убедиться в надежности парольной политики: длина паролей пользователей не менее 12 символов, администраторов — не менее 16 символов. Символы из четырех групп: строчные, прописные буквы, цифры и спецсимволы.
Проанализировать сетевые соединения изнутри наружу на предмет подозрительных и проверить по базам компрометации. Заблокировать подозрительные.
Проверить, что критические ИС скопированы на отчуждаемое хранилище и убедиться, что есть копии за разные периоды времени. Это позволит вернуться к более ранней версии, если заражены самые новые резервные копии.
Провести ревизию установленного ПО, особенно на серверах. Провести ревизию учетных записей управления гипервизорами и сетевым оборудованием.
Вынести интерфейсы управления гипервизорами, состоянием серверов (например, iPMI), сетевым оборудованием в отдельные подсети. Ограничить доступ к сетевому оборудованию с помощью VLAN и ACL.
Доступ к интерфейсам управления предоставить только с рабочих мест администраторов, которым он нужен для выполнения своих обязанностей.
Рабочие места администраторов проверить на предмет наличия закрепления (ключи реестра Run, RunOnce, отложенные задачи, подозрительные сервисы и дочерние процессы оболочки) либо переустановить на них ОС.
Убедиться, что серверы резервного копирования выведены из домена и вынесены в отдельную подсеть. Ограничить доступ к ним с помощью VLAN и ACL на сетевом оборудовании.
При наличии сервисных учетных записей (SPN) с привилегиями администратора домена — отключить или понизить уровень привилегий. Установить пароли на отключение и удаление антивирусного ПО.
