Vládní CERT opět upozorňuje na hrozbu útoků ransomware. V rámci naší činnosti evidujeme stále narůstající počet případů, a to jak ve státní, tak soukromé sféře. Ransomware může snadno ochromit chod organizace a způsobit značné nejen finanční škody. V současném stavu nouze, kdy je většina organizací odkázána na online komunikaci, je zajištění bezpečnosti a funkčnosti systémů zejména důležité. Apelujeme tedy na správce i uživatele, aby byli při práci maximálně ostražití a dodržovali bezpečnostní politiky.
Útoky zpravidla probíhají ve třech fázích - průnik do systému, sběr informací a šíření, šifrování - a mohou celkově trvat i několik měsíců, než dojde k finálnímu zašifrování dat. Průběžná kontrola klíčových prvků tedy může vést k včasnému odhalení a zamezení vzniku rozsáhlých škod. O příkladu průběhu útoku jsme již dříve psali například v souvislosti s šířením ransomware Ryuk: https://nukib.gov.cz/cs/infoservis/hrozby/1478-varovani-o-hrozbe-emotet-trickbot-ryuk/
Doporučujeme tedy následující opatření:
- Nejčastějšími vstupními body bývají pro útočníky škodlivé přílohy phishingových emailů a přístup přes Vzdálenou plochu (RDP). Doporučujeme pravidelně provádět důslednou kontrolu služeb a portů, které jsou ve vaší síti přístupné z internetu, především pak RDP. Doporučujeme také zvažovat, zda je potřebné a žádoucí mít tyto služby veřejně dostupné, či zda je možné je případně skrýt za VPN. V každém případě doporučujeme používat k jakémukoliv vzdálenému přístupu kombinaci silného hesla a druhého faktoru ověření (token, certifikát).
- Buďte maximálně opatrní u podezřelých emailů a zpráv, jde o nejčastější vektor útoků. Doporučujeme vždy zkontrolovat skutečnou adresu odesílatele, neotevírat neznámé přílohy a nikdy bez ověření nepovolovat makra u Office dokumentů.
- Pravidelně zálohovat. Doporučujeme rovněž pravidelně ověřovat stav záloh a testovat jejich funkčnost. Doporučujeme také zajistit, aby zálohy nebyly přístupné ze sítě a nebylo je možné ani v případě kompromitace smazat.
- Udržovat aktuální operační systém a aplikace. Doporučujeme též kontrolovat aktualizace používaných služeb, např. VPN klienta.
- Používat antivirovou ochranu s pravidelně aktualizovanými definicemi.
- Snažte se o kontinuální a opakované informování uživatelů ve vámi spravovaných infrastrukturách o aktuálních hrozbách a způsobech, jak je rozpoznat a jak jim čelit.