hirdetés

Amerikai figyelmeztetés

Az Egyesült Államok Kiberbiztonsági és Infrastrukturális Biztonsági Ügynöksége (CISA) közzétett egy közszolgálati közleményt a #Stopransomware bannerje alatt.

hirdetés

A közlemény a Royal néven ismert zsarolóvírus-családra összpontosít, a CISA nyíltan fogalmazó közérdekű közleményének legfontosabb tanulságai a következők:

Ezek a csalók bevált módszereket használnak a behatolásra. Ezek közé tartozik az adathalászat (a támadások kétharmadánál), a nem megfelelően konfigurált RDP szerverek felkutatása (a támadások egyhatodánál), a javítatlan online szolgáltatások keresése a hálózatodon vagy egyszerűen megvásárolják a hozzáférési hitelesítő adatokat a hálózatodat korábban meghackelő bűnözőktől. Azokat a kiberbűnözőket, akik megélhetési célból hozzáférési adatokat adnak el jellemzően adattolvajoknak és zsarolóvírus csoportoknak, a szakzsargon IAB-ként említi, amely az önleíró "initial access broker" kifejezés rövidítése.

A bejutást követően a csalók megpróbálják elkerülni olyan programok használatát, amelyek nyilvánvalóan malware-ként jelenhetnek meg. Vagy a meglévő adminisztrációs eszközöket keresik, vagy sajátot hoznak, tudva, hogy könnyebb elkerülni a gyanút, ha úgy "öltözködnek, beszélnek és viselkednek, mint egy helyi" - a zsargon kifejezésével élve "if you live off the land". A támadók által káros célra alkalmazott legitim eszközök közé tartoznak a hivatalos távoli hozzáféréshez, adminisztrációs parancsok távolról való futtatásához vagy tipikus rendszergazdai feladatokhoz gyakran használt segédprogramok. Példák:

  • PsExec a Microsoft Sysinternalstól;
  • az AnyDesk távoli elérési eszköz;
  • a Microsoft PowerShell, amely minden Windows-számítógépen előtelepítve van.  

A fájlok titkosítása előtt a támadók megpróbálják megbonyolítani a helyreállításhoz vezető utat. Megsemmisítik a volume shadow másolatokat (live Windows "visszaállítási" mentések. Saját nem hivatalos adminisztrátori fiókjukat is hozzáadják, így visszajuthatnak, ha el is távolítják őket a hálózatról, módosítják a biztonsági szoftver beállításait a riasztások elnémításához, átveszik az irányítást olyan fájlok felett, amelyeket egyébként nem tudnának titkosítani és összezavarják a rendszernaplóidat, hogy később nehezedre essen kinyomozni, mit változtattak meg.

hirdetés

Véleményvezér

Pöttöm tankok tartanak Ukrajna felé

Pöttöm tankok tartanak Ukrajna felé

Az ukrajnai háború ott tart, hogy minden oldal mindent elővesz a hadi spájzból, ami még működik.
Orbán Viktor után Mészáros Lőrincet is feljelentette Hadházy Ákos

Orbán Viktor után Mészáros Lőrincet is feljelentette Hadházy Ákos

A korrupció ellen harcoló független képviselő Orbán Viktort hivatali visszaélés miatt jelentette fel, Mészáros Lőrincet csalásért.
Elképesztő adatok érkeznek Horvátországból az euró bevezetése után

Elképesztő adatok érkeznek Horvátországból az euró bevezetése után

Már semmi nem a régi. Korábban az euró bevezetése egy országban komoly inflációt okozott, most viszont Horvátországban meglepetést.
Rekord a 100 éven felüliek számában

Rekord a 100 éven felüliek számában

A világjárványt követően általános jelenség volt, hogy mindenütt csökkent a várható élettartam. Japánban viszont meghaladta a 90 ezret a 100 éven felüliek száma.
Szárnyal a német hadiipar

Szárnyal a német hadiipar

Két vesztes világháborút követően is Európa élén a német gazdaság, hadiiparuk pedig hatalmasat lépett előre.
Putyin körözött bűnöző lett akkor Magyarországon is?

Putyin körözött bűnöző lett akkor Magyarországon is?

A Nemzetközi Büntetőbíróság (International Criminal Court) körözést adott ki az orosz elnökre, Vlagyimir Putyinra. 


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo