Центр кибербезопасности УЦСБ зафиксировал новую волну хакерских атак на российские компании.
Злоумышленники группировки BO Team рассылают письма с угрозами и требованиями перевода денежных средств в биткоинах.
Преступники сообщают, что ИТ-инфраструктура компании подверглась атаке и если не заплатить выкуп, то бизнесу будет нанесен значительный ущерб — вплоть до полной потери данных и вывода систем из строя.
Эксперты УЦСБ не рекомендуют вступать в переговоры и платить выкуп, так как злоумышленники часто не выполняют обещания и даже после оплаты шифруют инфраструктуру или публикуют украденные данные. Кроме того, каждый перевод группировкам — это поддержка киберпреступности.
Специалисты Центра кибербезопасности УЦСБ подготовили чек-лист на случай подозрения компрометации ИТ-инфраструктуры компании.
Злоумышленники группировки BO Team рассылают письма с угрозами и требованиями перевода денежных средств в биткоинах.
Преступники сообщают, что ИТ-инфраструктура компании подверглась атаке и если не заплатить выкуп, то бизнесу будет нанесен значительный ущерб — вплоть до полной потери данных и вывода систем из строя.
Эксперты УЦСБ не рекомендуют вступать в переговоры и платить выкуп, так как злоумышленники часто не выполняют обещания и даже после оплаты шифруют инфраструктуру или публикуют украденные данные. Кроме того, каждый перевод группировкам — это поддержка киберпреступности.
Специалисты Центра кибербезопасности УЦСБ подготовили чек-лист на случай подозрения компрометации ИТ-инфраструктуры компании.
- Установить антивирусное ПО, отличное от штатного Windows Defender, и обновить на нем антивирусные базы.
- Провести принудительную проверку всех узлов сети антивирусным ПО от разных разработчиков.
- Вывести из домена серверы управления антивируса.
- Провести ревизию и аудит учетных записей на всех серверах, рабочих местах, контроллере домена и сетевых устройствах. Удалить неиспользуемые.
- Убедиться в надежности парольной политики: длина паролей пользователей не менее 12 символов, администраторов — не менее 16 символов. Символы из 4 групп: строчные, прописные буквы, цифры и спецсимволы.
- Проанализировать сетевые соединения изнутри наружу на предмет подозрительных и проверить по базам компрометации. Заблокировать подозрительные.
- Проверить, что критические ИС скопированы на отчуждаемое хранилище и убедиться, что есть копии за разные периоды времени. Это позволит вернуться к более ранней версии, если заражены самые новые резервные копии.
- Провести ревизию установленного ПО, особенно на серверах.
- Провести ревизию учетных записей управления гипервизорами и сетевым оборудованием.
- Вынести интерфейсы управления гипервизорами, состоянием серверов (например, iPMI), сетевым оборудованием в отдельные подсети. Ограничить доступ к сетевому оборудованию с помощью VLAN и ACL.
- Доступ к интерфейсам управления предоставить только с рабочих мест администраторов, которым он нужен для выполнения своих обязанностей.
- Рабочие места администраторов проверить на предмет наличия закрепления (ключи реестра Run, RunOnce, отложенные задачи, подозрительные сервисы и дочерние процессы оболочки) либо переустановить на них ОС.
- Убедиться, что серверы резервного копирования выведены из домена и вынесены в отдельную подсеть. Ограничить доступ к ним с помощью VLAN и ACL на сетевом оборудовании.
- При наличии сервисных учетных записей (SPN) с привилегиями администратора домена — отключить или понизить уровень привилегий.
- Установить пароли на отключение и удаление антивирусного ПО.
