2 ważne rekomendacje dla MŚP, które poprawią bezpieczeństwo IT

21 listopada, 2022

Usługa telemetryczna Microsoft Defender Threat Intelligence, wchodząca w skład opcjonalnej usługi do zabezpieczania średniego i dużego biznesu w ramach pakietu Microsoft 365 Defender, powiązała dwie grupy przestępcze, które atakowały przedsiębiorstwa z branży transportowej na terenie Ukrainy oraz Polski. Dane telemetryczne pozwalają przypuszczać, że za atakami stoją Rosjanie. Grupa przestępcza Iridium, według artefaktów technicznych, pokrywa się z grupą Sandworm i wykorzystuje ransomware Prestige, wymuszając okup od firm, którym już wcześniej zainfekowano punkty końcowe.

Atakujący od marca 2022 r. pozostawali poza zasięgiem podstawowych zabezpieczeń systemów (nie są znane dane techniczne o zastosowanym zabezpieczeniu skompromitowanych firm). Korelacja wskaźników ataków z telemetrii Microsoftu pozwoliła powiązać ze sobą pewne cechy ataków i ustalić sprawców.

Prestige Ransomware

Ochrona przed ransomware Prestige

Ransomware Prestige jest podobne do HermeticWiper, które uszkadzało dane na dysku zainfekowanego komputera tuż przed rozpoczęciem wojny Rosji z Ukrainą, co pozwala przypuszczać, że atak był wcześniej planowany.

Microsoft wspomina, że w niewielkiej części wszystkich ataków tego ransomware, grupa hakerów uzyskiwała dostęp do usług i zasobów informatycznych przedsiębiorstwa o podwyższonym poziomie (administrator). Bez tego skala ataków nie byłaby tak duża.

Firmom rekomenduje się, aby blokowały tworzenie procesów z interpreterów poleceń PSExec i VMI, co powstrzyma podobne ataki. Dodatkowo, jeśli do zabezpieczania punktów kocowych używany jest antywirus Microsoft Defender, to należy się upewnić się, że w polityce zabezpieczeń jest aktywowana opcja „Temper Protection” (Ochrona przed naruszeniami), która ma zapobiec zmienianiu ważnych ustawień programu Microsoft Defender, takich jak ochrona w czasie rzeczywistym i ochrona w chmurze.

Ochrona przed naruszeniami

Rekomendacje dla firm

Działom informatycznym zaleca się, aby aktywowały uwierzytelnianie wieloskładnikowe (MFA) tam, gdzie jest to możliwe, aby ograniczać i zapobiegać logowaniu się hakerom do usług Microsoftu, w tym do komputerów poprzez pulpit zdalny. Według badania Eset, aż 60 procent polskich firm obawia się ataków typu Remote Desktop Protocol i tyle samo polskich firm doświadczyło w ciągu ostatnich 12 miesięcy incydentu związanego z bezpieczeństwem IT.

Referencje:

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 5 / 5. Liczba głosów: 1

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]