Съвременните способности на организираните хакерски групи и кибер-престъпниците представляват все по-голяма глобална заплаха за информационните системи. Повишаващите се нива на заплаха поставя все повече изисквания към персонала, отговарящ за киберзащитата и към мрежовите администратори, за да се гарантира опазването на информационните системи. Защитата на мрежовата инфраструктура е от решаващо значение за запазване на поверителността, целостта и достъпността на комуникациите и услугите във всяко начинание.
Киберкампании – като NotPetya – са примери за все по-напреднала заплаха от дейността на киберпрестъпниците. NotPetya криптира файловете на жертвата с динамично генериран 128-битов ключ и създава уникален идентификатор на жертвата. Няма обаче доказателства за връзка между криптиращия ключ и идентификационния номер на жертвата, което означава, че не е възможно нападателят да декриптира файловете на жертвата, дори ако откупа е платен. NotPetya се държи по-скоро като разрушителен злонамерен софтуер, отколкото като типичен ransomware.
NotPetya използва няколко метода за разпространение. Според анализи на злонамерения софтуер, NotPetya опитва следните странични техники за придвижване в заразената мрежа:
- PsExec – легитимен инструмент за администриране на Windows
- WMI – Windows Management Instrumentation, легитимен компонент на Windows
- EternalBlue – exploit за Windows SMBv1, използван от и WannaCry
- EternalRomance – друг exploit за Windows SMBv1
Специалистите по киберсигурност препоръчват на организациите да са бдителни и да са наясно за потенциална злонамерена кибердейност преди предстоящи национални празници, включително 28 юни 2018 г. ден на Конституционнията в Украйна. Кампания NotPetya съвпада с национален празник на страната, която е на прицел.
CERT България препоръчва на потребителите и администраторите да приложат следното:
- Ограничете ненужните странични комуникации.
- Уверете се, че на системите ви са приложени всички актуализации и установете, че са приложени ъпдейтите на Microsoft за уязвимостта, публикувани с MS17-010 SMB от 14 март 2017 г.
- Редовно правете резервни копия на данни и тествайте архивите си като част от цялостен план за възстановяване при бедствия.
- Уверете се, че антивирусните и анти-малуер програмите ви са с актуални бази и са настроени автоматично да извършват редовни сканирания.
- Управлявайте използването на привилегировани профили. Прилагайте принципа на най-малките привилегии. Не давайте администраторски достъп на потребителите, освен ако не е абсолютно необходимо. Тези, които имат нужда от администраторски профили, трябва да ги използват само при необходимост.
- Конфигурирайте контроли за достъп, включително разрешения до файлове, директории и споделени мрежови ресурси, съобразно принципа на най-малките привилегии. Ако потребителят трябва само да чете конкретни файлове, той не би трябвало да има достъп за писане до тези файлове, директории или споделени файлове.
- Осигурете безопасно използване на WMI, чрез оторизация на WMI потребителите и разрешенията за настройка.
- Използвайте хост-базирани защитни стени и блокирайте директните комуникации между работните станции, за да се ограничат ненужните странични комуникации.
- Деактивирайте или ограничете отдалеченото използване на WMI и споделяне на файлове.
- Блокирайте дистанционното изпълнение чрез PSEXEC
- Изолирайте мрежите и функциите.
- Стабилизирайте мрежовите устройства и ги направете по-устойчиви.
- Защитете достъпа до инфраструктурните устройства.
- Каналите за управление на мрежа да са извън нея.
- Уверете се в интегритета на хардуера и софтуера и че няма нерегламентирани промени в тях .
- Деактивирайте SMBv1 и блокирайте всички версии на SMB на всички гранични устройства на мрежата чрез затваряне на порт 445 по TCP и съответните портове 137-138 по UDP и порт 139 по TCP.
Забележка: Деактивирането или блокирането на SMB може да създаде проблеми, като възпрепятства достъпа до споделени файлове, данни или устройства. Преценете ползите от смекчаването и потенциални смущения за потребителите.
Повече информация може да намерите на:
https://www.us-cert.gov/ncas/tips/ST18-001
https://www.us-cert.gov/ncas/alerts/TA17-181A
https://www.ncsc.gov.uk/guidance/internet-edge-device-security
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010