Не будь как Garmin: чек-лист по защите компаний от вымогательского ПО

На прошлой неделе произошел сбой в работе сервисов компании Garmin, которая входит в число мировых лидеров по производству GPS-навигационной техники и умных часов.

Пользователи во всем мире столкнулись с невозможностью синхронизации устройств, отсутствием доступа к личной информации (тренировки, треки, архивные данные, карты и т. д.). Долгое время компания молчала и не информировала своих пользователей о происходящем и о времени восстановления доступности сервисов. Спустя несколько дней тишины, компания подтвердила, что стала жертвой кибератаки на свою инфраструктуру. Предположительно сбой вызван вирусом-шифровальщиком WastedLocker. Он управляется известной хакерской группировкой Evil Corp.

За последние годы хакеры хорошо потрудились над алгоритмами работы вирусов-шифровальщиков, превратив данный вид вредоносного ПО (ВПО) в настоящее оружие, способное парализовать работу целых корпораций. К примеру, для эффективного достижения цели в состав ВПО включаются разнообразные эксплойты и средства кражи учетных данных пользователей.

Данный функционал используется для распространения ВПО по локальной сети компании. Всего лишь один скомпрометированный хост может привести к заражению тысяч хостов менее чем за час. Каждый скомпрометированный хост осуществляет попытки эксплуатации уязвимостей на внутренние IP-адреса компании. Использование средств кражи учетных данных пользователей в составе ВПО позволяют извлекать пароли пользователей, работающих за скомпрометированным хостом, и использовать для запуска образцов ВПО на соседних хостах компании. Подобные инструменты позволяют вредоносному коду распространяться в геометрической прогрессии.

Эксперты Angara Professional Assistance (входит в группу компаний Angara) подготовили чек-лист, состоящий из мер для противодействия подобным атакам:

1. Регулярно осуществлять резервное копирование всей критичной информации как на серверах, так и на рабочих станциях пользователей.
2. Ограничивать прохождение трафика между внутренними сегментами сети средствами межсетевого экрана.
3. Регулярно устанавливать обновления ОС и прикладного ПО.
4. Инспектировать входящий трафик из сети Интернет специализированными системами защиты информации.
5. Проводить сканирование внутренней сети на наличие известных уязвимостей.
6. Не допускать использование простых паролей для учетных записей пользователей.
7. Осуществлять регулярную смену паролей пользователей.
8. Не использовать привилегированные учетные записи для администрирования рабочих станций.
9. Не допускать использования одинаковых паролей локальных администраторов на всех рабочих станциях.
10. Соблюдать рекомендации по настройке политик безопасности ОС для недопущения хранения паролей с использованием обратимого шифрования.
11. Использовать средства антивирусной защиты на всех рабочих станциях и серверах.
12. Иметь в арсенале решения класса MDR или полноценный SOC c функцией response. Как один из вариантов, воспользоваться сервисной моделью.