2 ważne rekomendacje dla MŚP, które poprawią bezpieczeństwo IT

21 listopada, 2022

Usługa telemetryczna Microsoft Defender Threat Intelligence, wchodząca w skład opcjonalnej usługi do zabezpieczania średniego i dużego biznesu w ramach pakietu Microsoft 365 Defender, powiązała dwie grupy przestępcze, które atakowały przedsiębiorstwa z branży transportowej na terenie Ukrainy oraz Polski. Dane telemetryczne pozwalają przypuszczać, że za atakami stoją Rosjanie. Grupa przestępcza Iridium, według artefaktów technicznych, pokrywa się z grupą Sandworm i wykorzystuje ransomware Prestige, wymuszając okup od firm, którym już wcześniej zainfekowano punkty końcowe.

Atakujący od marca 2022 r. pozostawali poza zasięgiem podstawowych zabezpieczeń systemów (nie są znane dane techniczne o zastosowanym zabezpieczeniu skompromitowanych firm). Korelacja wskaźników ataków z telemetrii Microsoftu pozwoliła powiązać ze sobą pewne cechy ataków i ustalić sprawców.

Prestige Ransomware

Ochrona przed ransomware Prestige

Ransomware Prestige jest podobne do HermeticWiper, które uszkadzało dane na dysku zainfekowanego komputera tuż przed rozpoczęciem wojny Rosji z Ukrainą, co pozwala przypuszczać, że atak był wcześniej planowany.

Microsoft wspomina, że w niewielkiej części wszystkich ataków tego ransomware, grupa hakerów uzyskiwała dostęp do usług i zasobów informatycznych przedsiębiorstwa o podwyższonym poziomie (administrator). Bez tego skala ataków nie byłaby tak duża.

Firmom rekomenduje się, aby blokowały tworzenie procesów z interpreterów poleceń PSExec i VMI, co powstrzyma podobne ataki. Dodatkowo, jeśli do zabezpieczania punktów kocowych używany jest antywirus Microsoft Defender, to należy się upewnić się, że w polityce zabezpieczeń jest aktywowana opcja „Temper Protection” (Ochrona przed naruszeniami), która ma zapobiec zmienianiu ważnych ustawień programu Microsoft Defender, takich jak ochrona w czasie rzeczywistym i ochrona w chmurze.

Ochrona przed naruszeniami

Rekomendacje dla firm

Działom informatycznym zaleca się, aby aktywowały uwierzytelnianie wieloskładnikowe (MFA) tam, gdzie jest to możliwe, aby ograniczać i zapobiegać logowaniu się hakerom do usług Microsoftu, w tym do komputerów poprzez pulpit zdalny. Według badania Eset, aż 60 procent polskich firm obawia się ataków typu Remote Desktop Protocol i tyle samo polskich firm doświadczyło w ciągu ostatnich 12 miesięcy incydentu związanego z bezpieczeństwem IT.

Referencje:

Czy ten artykuł był pomocny?

Oceniono: 1 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

[ninja_tables id=”27481″]

\r\n <\/div>\r\n<\/div>\r\n","isUserRated":"0","version":"7.6.29","wc_post_id":"44145","isCookiesEnabled":"1","loadLastCommentId":"0","dataFilterCallbacks":[],"phraseFilters":[],"scrollSize":"32","is_email_field_required":"1","url":"https:\/\/avlab.pl\/wp-admin\/admin-ajax.php","customAjaxUrl":"https:\/\/avlab.pl\/wp-content\/plugins\/wpdiscuz\/utils\/ajax\/wpdiscuz-ajax.php","bubbleUpdateUrl":"https:\/\/avlab.pl\/wp-json\/wpdiscuz\/v1\/update","restNonce":"651ff8d1b2","is_rate_editable":"0","menu_icon":"https:\/\/avlab.pl\/wp-content\/plugins\/wpdiscuz\/assets\/img\/plugin-icon\/wpdiscuz-svg.svg","menu_icon_hover":"https:\/\/avlab.pl\/wp-content\/plugins\/wpdiscuz\/assets\/img\/plugin-icon\/wpdiscuz-svg_hover.svg"}; var wpdiscuzUCObj = {"msgConfirmDeleteComment":"Are you sure you want to delete this comment?","msgConfirmCancelSubscription":"Are you sure you want to cancel this subscription?","msgConfirmCancelFollow":"Are you sure you want to cancel this follow?","additionalTab":"0"}; -->