Amerikai figyelmeztetés

Az Egyesült Államok Kiberbiztonsági és Infrastrukturális Biztonsági Ügynöksége (CISA) közzétett egy közszolgálati közleményt a #Stopransomware bannerje alatt.

A közlemény a Royal néven ismert zsarolóvírus-családra összpontosít, a CISA nyíltan fogalmazó közérdekű közleményének legfontosabb tanulságai a következők:

Ezek a csalók bevált módszereket használnak a behatolásra. Ezek közé tartozik az adathalászat (a támadások kétharmadánál), a nem megfelelően konfigurált RDP szerverek felkutatása (a támadások egyhatodánál), a javítatlan online szolgáltatások keresése a hálózatodon vagy egyszerűen megvásárolják a hozzáférési hitelesítő adatokat a hálózatodat korábban meghackelő bűnözőktől. Azokat a kiberbűnözőket, akik megélhetési célból hozzáférési adatokat adnak el jellemzően adattolvajoknak és zsarolóvírus csoportoknak, a szakzsargon IAB-ként említi, amely az önleíró "initial access broker" kifejezés rövidítése.

A bejutást követően a csalók megpróbálják elkerülni olyan programok használatát, amelyek nyilvánvalóan malware-ként jelenhetnek meg. Vagy a meglévő adminisztrációs eszközöket keresik, vagy sajátot hoznak, tudva, hogy könnyebb elkerülni a gyanút, ha úgy "öltözködnek, beszélnek és viselkednek, mint egy helyi" - a zsargon kifejezésével élve "if you live off the land". A támadók által káros célra alkalmazott legitim eszközök közé tartoznak a hivatalos távoli hozzáféréshez, adminisztrációs parancsok távolról való futtatásához vagy tipikus rendszergazdai feladatokhoz gyakran használt segédprogramok. Példák:

  • PsExec a Microsoft Sysinternalstól;
  • az AnyDesk távoli elérési eszköz;
  • a Microsoft PowerShell, amely minden Windows-számítógépen előtelepítve van.  

A fájlok titkosítása előtt a támadók megpróbálják megbonyolítani a helyreállításhoz vezető utat. Megsemmisítik a volume shadow másolatokat (live Windows "visszaállítási" mentések. Saját nem hivatalos adminisztrátori fiókjukat is hozzáadják, így visszajuthatnak, ha el is távolítják őket a hálózatról, módosítják a biztonsági szoftver beállításait a riasztások elnémításához, átveszik az irányítást olyan fájlok felett, amelyeket egyébként nem tudnának titkosítani és összezavarják a rendszernaplóidat, hogy később nehezedre essen kinyomozni, mit változtattak meg.

Véleményvezér

Sokba kerül az Orbán-kormány eladósodása

Sokba kerül az Orbán-kormány eladósodása 

Ismét kifogtunk egy utolsó helyet az Európai Unióban.
Több száz pedagógust vert át a Belügyminisztérium

Több száz pedagógust vert át a Belügyminisztérium 

A pórul járt pedagógusok minden bizonnyal beperlik a Belügyminisztériumot.
Magyar Péter szerint választási csalás történt a külföldön élő magyarok szavazataival

Magyar Péter szerint választási csalás történt a külföldön élő magyarok szavazataival 

Valami bűzlik Dániában mondaná Shakespeare.
Orbán Viktor kormányzása óta nagyot zuhantak a magyar nyugdíjak GDP arányosan nézve

Orbán Viktor kormányzása óta nagyot zuhantak a magyar nyugdíjak GDP arányosan nézve 

Mennyire becsüljük meg nyugdíjasainkat?
Megbukott a lombkorona nélküli lombkoronasétányt építő polgármester

Megbukott a lombkorona nélküli lombkoronasétányt építő polgármester 

A vidéket még mindig a Fidesz uralja.
Hatalmas adóemelésre készül Putyin

Hatalmas adóemelésre készül Putyin 

Fogy Moszkva pénze, jön tehát a hadisarc.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo