Napadení ransomwarem. Jak se to k nám dostalo a ponaučení z toho všeho

Názory k článku

avatar
19. 12. 2019 13:25 | Microsoft Windows 10 Firefox 71.0

A přitom stačilo tak málo a zadarmo - mít infrastrukturu, Hypervisory, zálohování atd. na oddělené VLANě.

Souhlasím  |  Nesouhlasím  |  Odpovědi (5)Zavřít odpovědi  |  Odpovědět
avatar
19. 12. 2019 13:50 | Linux Chrome 65.0.3325.181

Článek bez pochyby zajímavý, ale než přehled toho co mají ve firmě tak by mě zajímalo, jak došlo k tomu napadení. Vzdálená plocha vystavená na internet sice není nejlepší nápad, ale pokud je tam účet s rozumným heslem tak by to mělo být relativně bezpečné nebo se pletu? Ten druhý případ je jasný, lokální účet se slabým heslem a ztráty tedy také jen lokální. Ale ten první nechápu, jak se ten vir dostal k účtu doménového admina?

Souhlasím  |  Nesouhlasím  |  Odpovědi (6)Zavřít odpovědi  |  Odpovědět
Bzuci  |  19. 12. 2019 14:09  |  Microsoft Windows 10 Chrome 78.0.3904.108

Benešovská nemocnice, snad nevyzradním nic tajného, byla nakažena cíleně, nešlo o náhodný útok. Je samozřejmě známý i ten ransomware, který byl použit.Taky jsem zažil ve firmě a není to nic příjemného. Zdroj nákazy jsem nenašel. Ale když zjistíte, že vlastně nemáte ani emaily, ve kterých máte sepsaný disaster recovery plan, nemáte vůbec žádná firemní data, abyste věděli, odkud začít, no je to studená sprcha.
Zálohovali jsme dvěma různými metodami na dvě různá místa, z toho jedna záloha se ukázala jako naprosto nefunkční už delší čas (moje chyba). Stalo se to ve čtvrtek večer, poprvé spát jsem šel v sobotu, plně obnovený provoz byl asi po týdnu...
Výborný tréning, když si člověk uvědomí, jak velké měl štěstí, že šlo jen o náhodný útok. Kdyby nás tehdy napadl někdo zevnitř, dost možná bych nezachránil ani byte.

Souhlasím  |  Nesouhlasím  |  Odpovědi (5)Zavřít odpovědi  |  Odpovědět
pepino34  |  19. 12. 2019 14:47  |  Microsoft Windows 10 Chrome 79.0.3945.79

Nikde v článku nevidím zmínku o NGFW, o iNGFW už vůbec ne. Taky žádná informace o NTA nebo IPS zařízení v síti. Tohle je základní problém všech. O mikrosegmentaci pro virtuální prostřední radši mluvit ani nebudu.
EDIT: Co je inteligentní firewall, popř. NTA zařízení:Unknown Malware Detection
Hillstone has built a proprietary engine that has analyzed close to a million “known” malware samples. Each sample has been classified and characterized based on multiple dimensions that describe its actions, assets and attributes. In a production environment, when new malware is encountered, it is also analyzed, characterized and classified. Then it is compared to the database of known malware samples that have already been analyzed. The closer the unknown sample matches a known sample – the higher the confidence level that it is a variant of a known malware sample. This process is called “statistical clustering” and provides an accurate method for identifying new malware.Abnormal Behavior Detection
Hillstone’s Abnormal Behavior engine continuously monitors the network to learn what normal network traffic looks like for that particular day, time, and month; providing alerts when network activity exceeds calculated thresholds. It uses a 50+ dimensional array to calculate normal network traffic from layer L4-L7, called “behavior modeling.” In addition, it has been trained with real hacking tools to ensure that it will readily recognize malicious activity. These techniques limit false positives and provide the user with multiple opportunities to stop an attack.Rich Forensic Analysis
Hillstone delivers a new way of visualizing and analyzing attacks. Every action taken by a potentially malicious code is automatically linked to steps within the “Kill Chain.” It is complemented with rich forensic information that enables the security analyst to determine the origin of the attack, the severity of the attack, and the methodology employed. Hillstone also provides packet capture files, which, when combined with syslog and traffic logs, provide the administrator with a wealth of ancillary information. In addition, user data such as websites visited, applications used, and the risk level of the applications, bring the exploits into sharp focus. Most importantly, Hillstone identifies the exact firewall policy that allowed the attacker to get through the firewall.Preemptive Mitigation
In addition to the ability to make a policy change to prevent an attack, Hillstone has built-in several automatic mitigation features. These features consist of pre-defined templates that automatically slow-down or block an attack if suspicious behavior is detected. The administrator can modify the templates to limit the bandwidth or the number of sessions available to the attacker. He can also adjust the constraints he places on network resources based on the type of attack and the severity level. In cases where the attack is critical and the confidence level is high, mitigation can include a complete blockage of all network resources. And, if a template does not exist or is not active, the administrator can quickly set up a temporary mitigation for that event.

Souhlasím  |  Nesouhlasím  |  Odpovědi (10)Zavřít odpovědi  |  Odpovědět
ManiakOk  |  19. 12. 2019 14:57  |  Microsoft Windows 10 Firefox 71.0

Pěkný souhrn napsaný tak, aby to i laik pochopil, ale v podobné infrastruktuře bych vše navrhoval úplně jinak, a to od začátku. Je mi záhadou jak v dnešní době vůbec někdo může otevřít RDP do internetu, minimálně bez další bezpečnostní vrstvy. Jsou daleko bezpečnější a lepší způsoby jak dané servery spravovat vzdáleně mimo interní síť a přistupovat k jakýmkoliv zdrojů v interní síti.

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
Ow3n  |  19. 12. 2019 15:16  |  Microsoft Windows 10 Firefox 71.0

Bly by někdo ochoten poradit se zabezpečím proti ransomwaru? Naše spřátelená firma právě byla zasažena a zaplatila výkupné (0,5 BTC). V podstatě máme shodnou strukturu sítě: 1.) lokální Windows Server kde máme účetní software(Pohoda) a 3 pc které jsou připojeny do stejné sítě a odkud si účetní program spuští. Je pravdou, že data (hlavně zálohy účetního programu) ochráním tím že je zašifruji a odešlu např. cloud úložitě? Článek jsem četl, ale jsem lajk a je to pro mě španělská nebo spíš čínská vesnice ... Díky za názor.

Souhlasím  |  Nesouhlasím  |  Odpovědi (7)Zavřít odpovědi  |  Odpovědět
Bumerang  |  19. 12. 2019 15:54  |  Microsoft Windows 10 Edge 18.18363

"Bylo otázkou hodin, nikoliv dnů, než došlo k průstřelu skrze zapomenutý lokální účet jednoho z nich – admin s heslem admin" to je vsetko co potrebujete vediet o "profesionalite" administratorov v tej firme, komentovat ostatne veci je uplne zbytocne.

Souhlasím  |  Nesouhlasím  |  Odpovědi (10)Zavřít odpovědi  |  Odpovědět
mberber6  |  19. 12. 2019 16:09  |  Microsoft Windows 10 Firefox 71.0

No, dobrý je taky dělat pravidelné testy. Účet admin s heslem admin by se našel hned.... RDP obecně není dobrý nápad. Být pouze na Windoze taky není dobrý nápad.

Souhlasím  |  Nesouhlasím  |  Odpovědět
dolph1888  |  19. 12. 2019 17:59  |  Microsoft Windows 10 Firefox 72.0

Ke mně nijak, pravidelně tak jak se má zálohuji. Tzn., že v mém případě bude napadena pouze běžící mašina (s ničím jiným nepropojená - na to nejsem zvyklý, pro poskytovatele OS chci zůstat anonymním uživatelem), tedy disk s OS a zbývající s DATY (odděluji fyzicky ne pomocí oddílů). Všechny jsou však pravidelně off-line zazálohované sektor/sektor (s kontrolou a nevynucenou obnovou - jiné umístění), takže zálohy a samozřejmě také archiv budou vždy OK.
> Opravdu cenná data, na kterých mi extrémně záleží „proháním” v souladu se smlouvami klientů pouze na mašinách bez fyzického přístupu k síti a bez možnosti připojit jakékoliv externí médium, takže zde nehrozí absolutně nic kromě HW selhání.

Souhlasím  |  Nesouhlasím  |  Odpovědi (3)Zavřít odpovědi  |  Odpovědět
světelná tyč  |  19. 12. 2019 19:11  |  Microsoft Windows 10 Firefox 71.0

Nechci být za každou cenu za prudiče, ale přes to bych si dovolil poznamenat, že pokud má někdo takový systém, že lze napadenou pracovní stanicí zavirovat celou infrasktrukturu, tak asi udělal někde chybu a ta jízda po ostří nože jednou skončila tak, jak musela.

Souhlasím  |  Nesouhlasím  |  Odpovědi (4)Zavřít odpovědi  |  Odpovědět
skrzjdouci  |  19. 12. 2019 20:30  |  Microsoft Windows 10 Chrome 79.0.3945.88

Podle nadpisu to vypadá že byla zašifrována redakce živě

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
Doggg  |  19. 12. 2019 22:07  |  Macintosh OS X Safari 13.0

Jaj to bolí - zakázkový vývoj webových aplikací, ale web není ani responsivni. To myslím, že o firmě řekne asi tak vše...

Souhlasím  |  Nesouhlasím  |  Odpovědět
mumintroll  |  19. 12. 2019 22:54  |  Android Chrome 71.0.3578.99

Nicomu som nerozumel lebo nie som IT. Tak nam radsej povedzte nam bfu ako sa branit. Ja uz zalohujem na domaci cloud, ale obavam sa ze je to malo. Lebo je spojeny s pocitacom kablom. Samozrejme firewall a antivirus mam. Komodo. Zatial bez problemom len dokedy.

Souhlasím  |  Nesouhlasím  |  Odpovědi (3)Zavřít odpovědi  |  Odpovědět
maxdevaine  |  20. 12. 2019 00:12  |  Linux Chrome 79.0.3945.79

Autor si sype popel na hlavu opakovaně. Jedna věc je přiznání problému, ale to, co je tam zmíněno dále, to člověk nestačí zírat. A ještě si po těch milionech chyb na každém kroku (podle popisu se nejedná o zanedbání jedné, nebo dvou věcí, ale celé škály) napíše, že "Celá firma jsme v podstatě IT profesionálové".
Pokud je pravda to, co bylo napsáno, tak rozhodně nejste.
A pokud je pravda to, co je napsáno i pod článkem v komentářích, tak to už snad nejde ani komentovat.Zdar Max

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
Arvo  |  20. 12. 2019 00:26  |  Microsoft Windows 7 Firefox 68.0

Ať jste připojeni kdekoliv, můžete si být už řadu let jisti, že na vaší IP adrese každou chvilku někdo zkouší porty. A pokud najde např, RDP nebo FTP, tak se do toho teprve opře.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
20. 12. 2019 06:48 | Microsoft Windows 10 Chrome 79.0.3945.88

kolegovi došlo místo tak neaktualizoval :D tak to se vyplatí srát na to na čem zaměstnanec dělá a jestli mu třeba náhodou nedošlo místo :D dobře vám tak

Souhlasím  |  Nesouhlasím  |  Odpovědět
British04  |  20. 12. 2019 08:16  |  Microsoft Windows 7 IE 11.0

Stačí si jenom představit kolik děr je nejenom ve widlích ale taky v Intelech a zistíme že dnešním internetovým uživatelům windowsů pomůže jedině Věra Pohlová.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
20. 12. 2019 09:11 | Macintosh OS X AppleMAC-Safari 5.0

Je vidět, že vzdělání a porozumění technologiím ještě z nikoho nedělá dobrého IT admina.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
zivyk  |  20. 12. 2019 10:50  |  Microsoft Windows 10 Chrome 79.0.3945.94

Pekny clanok. Hodit RDP dostupne priamo z internetu sa mi zda ako velky fail. Ked uz tak dostali po prstoch, tak by mali zvazit bezpecnostny audit. Najdu vam zabudnute slabiny a odporucia dalsie vylepsenia. VLANy maju zmysel, ale treba aj firewall medzi nimi. Pripojenie do firmy bez pouzitia vpnky je vazny fail.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
max2it  |  20. 12. 2019 10:58  |  Microsoft Windows 7 Firefox 71.0

Každý ransomware je trochu jiný. Moje první zkušenost bylo napadení přes otevřený port používaný pro RDP. Podařilo se jim potom dostat na jeden z účtů s hodně chabým heslem. Ten účet měl naštěstí omezený přístup na intranet, takže se podařilo data vrátit ze záloh beze ztrát. Nastavil jsem tedy maximum 3 pokusy o přihlášení za 15 minut, povinně alespoň 7 místná hesla, zavřel jsem porty a od té doby nic. Chytřejšímu typu útoku by přirozeně tohle minimalistické opatření nezabránilo.

Souhlasím  |  Nesouhlasím  |  Odpovědět
21. 12. 2019 00:31 | Microsoft Windows 10 Edge 18.18363

1. aktualizace Microsoft OS (zatím zdarma)
2. plnohodnotný aktualizovaný antivir (např. Defender - zdarma)
3. vhodně nastavená GPO (zdarma)
ad 3 - Nechápu, že to tu zatím nikdo nezmínil … přitom ransomware funguje na aplikační/sw vrstvě … a to je šikovný windows admin schopen snadno, rychle a hlavně efektivně nasadit v relativně krátké době, ať už na pár počítačích nebo enterprise!
4. doporučuji především na file serverech doinstalovat FSRM (taky zdarma)
https://blog.netwrix.com/2016/04/11/ransomware-pro... Pokud admin není idiot (admin/admin) nebo insider, tak 99% ochranu máte hotovou a můžete se pustit do složitějších (časově/finančně/technologických) ochran.
Pro začínající adminy bych začal tady : https://www.govcert.cz/cs/informacni-servis/dopo...

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
Abox  |  23. 12. 2019 09:08  |  Microsoft Windows 7 Opera 9.80

Ani nam se to na sichte nevyhlo, je to sice uz nejaky patek, nezavisle se to dostalo na dvou PC - vysledek zasifrovane lokalni data na techto PC (smula), Home adresare a spolecne sitova adresare obnovene ze zalohy, takze NASTESTI zadna vetsi skoda. To i presto, ze jsme za firewallem s antivirem, dlaism centralnim antivirem v siti i na jednotlivych PC. Zadny otevreny email s prilohou - jsou zariznuty hned na antispamu.
Kdyz jsem pak hledal, odkud by se to tak mohlo dostat, tak jedine spolecne u obou PC bylo, ze v tu chvili byli uzivatele na internetu a v logu na firewallu jsem nasel, ze oba, (nebylo to v jeden den), jako posledni (dle casu) meli v logu ten zasr*ny vymeny reklamni system (Bbelements.com). nebo jak se to presne jmenuje.
Ten jsem tehdy jako prvni krok natvrdo zariznul na firewallu a musim zaklepat, od te doby ani tuk. Cimz netvrdim, ze to bylo 100% ono, ale zatim je klid.

Souhlasím  |  Nesouhlasím  |  Odpovědět
-Fík  |  23. 12. 2019 11:38  |  Microsoft Windows 10 Chrome 79.0.3945.88

HyperV servery byly v doméně? A do hypervisoru serveru se útočník dostal pomocí hesla administrátora nebo nějakou chybou MS?

Souhlasím  |  Nesouhlasím  |  Odpovědět
cabman01  |  31. 12. 2019 21:57  |  Android Chrome 79.0

Podle screeshotů používají Kaspersky Antivirová řešení, které zjevně nepomohlo. Já jsem cryptovací ramsonware řešil dvakrát a tam zase selhal ESET.Každá situace je jiná. Ale myslíte, že by pro tyto situace stálo připlatit na řešení typu Sophos které stojí dvakrát tolik? Případně něco jiného?

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
shadow_warior  |  07. 01. 2020 08:26  |  Microsoft Windows 7 Firefox 56.0

" publikovaného rozhraní RDP na veřejnou IP adresu "tak to je prasarna na ntou

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor

Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu