ГлавнаябезопасностьMicrosoft выпускает инструкции о том, как блокировать атаки вымогателей

Microsoft выпускает инструкции о том, как блокировать атаки вымогателей

Сегодня Microsoft предупредила о продолжающихся кампаниях вымогателей, нацеленных на поставщиков медицинских услуг и критически важные службы, и поделилась советами о том, как исключить новые нарушения путем восстановления уязвимых систем.

Многие такие атаки начинаются с того, что хакеры используют уязвимости, обнаруженные на устройствах, подключенных к Интернету, или RDP серверы на что они провоцируют скотина незначащих а затем разработать полезные нагрузки вымогателей.

Например, устройства Pulse VPN стали целью хакер в прошлом, с таким уязвимым устройством, которое, как полагают, стояло за атакой Travelex Ransomware от Sodinokibi (REvil).

Другие банды-вымогатели, такие как DoppelPaymer и Ragnarok Ransomware, также использовали уязвимость Citrix ADC (NetScaler) CVE-2019-1978, чтобы получить «поддержку» в сети своих жертв.

Согласно Microsoft, последний этап разработки вымогателей и системного шифрования обычно предшествует этапу распознавания, когда злоумышленники крадут. данные которые они могут позже использовать для шантажа, а также собирать Полномочия и вторгаться в сети своих жертв.

Чтобы избежать всего этого, Microsoft советует потенциальным жертвам предотвращать угрозы. агенты позади кампаний вымогателей, чтобы иметь возможность воспользоваться слабостями, которые они обычно используют, чтобы начать нападки им.

Microsoft

Снизить риск стать жертвой вымогателей

«Внедрение обновлений безопасности для систем, подключенных к Интернету, имеет решающее значение для предотвращения этих атак, - поясняет группа аналитики Microsoft Intelligence Protection Intelligence.

Согласно данным, полученным Microsoft после недавних атак на вымогателей, вредоносные программы обычно используют следующие уязвимости:

• Протокол удаленного рабочего стола (RDP) или конечные точки виртуального рабочего стола без многофакторной аутентификации (МИД)

• Старые платформы, которые достигли конца поддержки и больше не получают обновления безопасности, такие как Windows Server 2003 и Windows Server 2008, которые были скомпрометированы из-за использования слабых паролей

• Веб-серверы с неправильной конфигурацией, включая IIS, программное обеспечение e-Health Software (EHR), резервный сервер или серверы управления системой

• Системы Citrix Application Delivery Controller (ADC), затронутые CVE-2019-19781

• Системы Pulse Secure VPN, затронутые CVE-2019-11510

Хотя Microsoft не заметила каких-либо недавних атак с использованием уязвимостей CVE-2019-0604 (Microsoft SharePoint), CVE-2020-0688 (Microsoft Exchange), CVE-2020-10189 (Zoho ManageEngine), основанных на исторических данных, в конечном итоге они будут использоваться для получить доступ к сети жертв, поэтому они заслуживают исправления после прохождения проверки.

Расположение и реакция на продолжающиеся атаки

Организации также должны искать признаки активной атаки вымогателей в своей среде, такие как инструменты, которые помогают атакам сочетаться с другими действиями (например, Malicious PowerShell, Cobalt Strike и другими инструментами Проникновение тестирование), кража деятельности мандат или файлы записи безопасности.

Как только такие признаки выявлены, бригады безопасности организации должны немедленно предпринять следующие шаги, чтобы оценить влияние на безопасность и предотвратить их развитие. полезная нагрузка:

• Изучите затронутые конечные точки и учетные данные

• Изоляция нарушенных конечных точек

• Проверять и восстанавливать устройства с зараженными вредоносными программами.

Имея дело со слабостями, с которыми они сталкиваются Интернет поиск и локализация любого периметра системы то, что злоумышленники могут использовать в качестве трамплина для получения доступа к своим сетям, является еще одной важной мерой защиты от атак вымогателей.

Системы, которые могут пытаться злоупотреблять злоумышленниками-вымогателями во время их атак:

• Конечные точки RDP или виртуальный рабочий стол без MFA

• Системы АЦП Citrix, затронутые CVE-2019-19781

• Системы Pulse Secure VPN, затронутые CVE-2019-11510

• Серверы Microsoft SharePoint, затронутые CVE-2019-0604

• Серверы Microsoft Exchange, затронутые CVE-2020-0688

• Системы Zoho ManageEngine, затронутые CVE-2020-10189

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ