Съвременните способности на организираните хакерски групи и кибер-престъпниците представляват все по-голяма глобална заплаха за информационните системи. Повишаващите се нива на заплаха поставя все повече изисквания към персонала, отговарящ за киберзащитата и към мрежовите администратори, за да се гарантира опазването на информационните системи. Защитата на мрежовата инфраструктура е от решаващо значение за запазване на поверителността, целостта и достъпността на комуникациите и услугите във всяко начинание.
Киберкампании – като NotPetya – са примери за все по-напреднала заплаха от дейността на киберпрестъпниците. NotPetya криптира файловете на жертвата с динамично генериран 128-битов ключ и създава уникален идентификатор на жертвата. Няма обаче доказателства за връзка между криптиращия ключ и идентификационния номер на жертвата, което означава, че не е възможно нападателят да декриптира файловете на жертвата, дори ако откупа е платен. NotPetya се държи по-скоро като разрушителен злонамерен софтуер, отколкото като типичен ransomware.
NotPetya използва няколко метода за разпространение. Според анализи на злонамерения софтуер, NotPetya опитва следните странични техники за придвижване в заразената мрежа:
- PsExec – легитимен инструмент за администриране на Windows
- WMI – Windows Management Instrumentation, легитимен компонент на Windows
- EternalBlue – exploit за Windows SMBv1, използван от и WannaCry
- EternalRomance – друг exploit за Windows SMBv1
Специалистите по киберсигурност препоръчват на организациите да са бдителни и да са наясно за потенциална злонамерена кибердейност преди предстоящи национални празници, включително 28 юни 2018 г. ден на Конституционнията в Украйна. Кампания NotPetya съвпада с национален празник на страната, която е на прицел.
CERT България препоръчва на потребителите и администраторите да приложат следното:
- Ограничете ненужните странични комуникации.
- Уверете се, че на системите ви са приложени всички актуализации и установете, че са приложени ъпдейтите на Microsoft за уязвимостта, публикувани с MS17-010 SMB от 14 март 2017 г.
- Редовно правете резервни копия на данни и тествайте архивите си като част от цялостен план за възстановяване при бедствия.
- Уверете се, че антивирусните и анти-малуер програмите ви са с актуални бази и са настроени автоматично да извършват редовни сканирания.
- Управлявайте използването на привилегировани профили. Прилагайте принципа на най-малките привилегии. Не давайте администраторски достъп на потребителите, освен ако не е абсолютно необходимо. Тези, които имат нужда от администраторски профили, трябва да ги използват само при необходимост.
- Конфигурирайте контроли за достъп, включително разрешения до файлове, директории и споделени мрежови ресурси, съобразно принципа на най-малките привилегии. Ако потребителят трябва само да чете конкретни файлове, той не би трябвало да има достъп за писане до тези файлове, директории или споделени файлове.
- Осигурете безопасно използване на WMI, чрез оторизация на WMI потребителите и разрешенията за настройка.
- Използвайте хост-базирани защитни стени и блокирайте директните комуникации между работните станции, за да се ограничат ненужните странични комуникации.
- Деактивирайте или ограничете отдалеченото използване на WMI и споделяне на файлове.
- Блокирайте дистанционното изпълнение чрез PSEXEC
- Изолирайте мрежите и функциите.
- Стабилизирайте мрежовите устройства и ги направете по-устойчиви.
- Защитете достъпа до инфраструктурните устройства.
- Каналите за управление на мрежа да са извън нея.
- Уверете се в интегритета на хардуера и софтуера и че няма нерегламентирани промени в тях .
- Деактивирайте SMBv1 и блокирайте всички версии на SMB на всички гранични устройства на мрежата чрез затваряне на порт 445 по TCP и съответните портове 137-138 по UDP и порт 139 по TCP.
Забележка: Деактивирането или блокирането на SMB може да създаде проблеми, като възпрепятства достъпа до споделени файлове, данни или устройства. Преценете ползите от смекчаването and потенциални смущения за потребителите.
Повече информация може да намерите на:
https://www.us-cert.gov/ncas/tips/ST18-001
https://www.us-cert.gov/ncas/alerts/TA17-181A
https://www.ncsc.gov.uk/guidance/internet-edge-device-security
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010