Napadení ransomwarem. Jak se to k nám dostalo a ponaučení z toho všeho

Můj názor  |  zobrazit i odpovědi (trvale)  |  řadit od nejstarších Komentáře nyní řadíme od nejnovějších.
Tímto odkazem můžete řazení změnit.
 |  nových názorů: 91

Názory k článku

11. 02. 2020 01:24

Já nechápu jedinou věc.
Proč nemá OS a nebo Antivir možnost blokovat program pokud provede x operací za určitý čas.Já dřive měl na unixovém FS serveru limit operací a pokud byl dosažen, svazek se odpojil. Tehdy se bojovalo proti stahování dat a nebo hromadnému mazání.Jinak z praxe jsem řešil take několik napadení a všude ESET v plné verzi a bylo mu to uplně jedno. Jinak jak bojuji dnes,
dnes už používám antivir ten defaultni (škoda peněz za Eseta) ve Win10 se zapnutou ochranou proti romsware.
Uživatele mají user práva a sdílená data beži na Synology se stínovou kopii na druhý svazek. Jinak RDP lze ošetřit utilitou BFGuard ten hlídá log a ve firewallu zablokuje IP pokud je x špatných pokusů... Bohužel Microsoft tohle moc nedotahl a 2auth a nebo autoblok na RDP je skoro nemožný. Jinak na RDP se dostávájí tou popsanou chybou a tak heslo nepomůže.VPN také nelze použít vždy a tak pomůže leda Remote Desktop Gateway na Https. Někdy nemáte možnost klientům dodadat a nastavit VPN ,ale přesto potřebují RDP.Jedníné co mě zajímá je jak se zachová Sharepoint či OneDrive v cloudu.
Prý to lze obnovit ,ale v praxi jsem netestoval...

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
07. 01. 2020 08:26

" publikovaného rozhraní RDP na veřejnou IP adresu "tak to je prasarna na ntou

Souhlasím  |  Nesouhlasím  |  Odpovědět
31. 12. 2019 21:57

Podle screeshotů používají Kaspersky Antivirová řešení, které zjevně nepomohlo. Já jsem cryptovací ramsonware řešil dvakrát a tam zase selhal ESET.Každá situace je jiná. Ale myslíte, že by pro tyto situace stálo připlatit na řešení typu Sophos které stojí dvakrát tolik? Případně něco jiného?

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
23. 12. 2019 11:38

HyperV servery byly v doméně? A do hypervisoru serveru se útočník dostal pomocí hesla administrátora nebo nějakou chybou MS?

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
23. 12. 2019 09:08

Ani nam se to na sichte nevyhlo, je to sice uz nejaky patek, nezavisle se to dostalo na dvou PC - vysledek zasifrovane lokalni data na techto PC (smula), Home adresare a spolecne sitova adresare obnovene ze zalohy, takze NASTESTI zadna vetsi skoda. To i presto, ze jsme za firewallem s antivirem, dlaism centralnim antivirem v siti i na jednotlivych PC. Zadny otevreny email s prilohou - jsou zariznuty hned na antispamu.
Kdyz jsem pak hledal, odkud by se to tak mohlo dostat, tak jedine spolecne u obou PC bylo, ze v tu chvili byli uzivatele na internetu a v logu na firewallu jsem nasel, ze oba, (nebylo to v jeden den), jako posledni (dle casu) meli v logu ten zasr*ny vymeny reklamni system (Bbelements.com). nebo jak se to presne jmenuje.
Ten jsem tehdy jako prvni krok natvrdo zariznul na firewallu a musim zaklepat, od te doby ani tuk. Cimz netvrdim, ze to bylo 100% ono, ale zatim je klid.

Souhlasím  |  Nesouhlasím  |  Odpovědět

1. aktualizace Microsoft OS (zatím zdarma)
2. plnohodnotný aktualizovaný antivir (např. Defender - zdarma)
3. vhodně nastavená GPO (zdarma)
ad 3 - Nechápu, že to tu zatím nikdo nezmínil … přitom ransomware funguje na aplikační/sw vrstvě … a to je šikovný windows admin schopen snadno, rychle a hlavně efektivně nasadit v relativně krátké době, ať už na pár počítačích nebo enterprise!
4. doporučuji především na file serverech doinstalovat FSRM (taky zdarma)
https://blog.netwrix.com/2016/04/11/ransomware-pro... Pokud admin není idiot (admin/admin) nebo insider, tak 99% ochranu máte hotovou a můžete se pustit do složitějších (časově/finančně/technologických) ochran.
Pro začínající adminy bych začal tady : https://www.govcert.cz/cs/informacni-servis/dopo...

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
20. 12. 2019 10:58

Každý ransomware je trochu jiný. Moje první zkušenost bylo napadení přes otevřený port používaný pro RDP. Podařilo se jim potom dostat na jeden z účtů s hodně chabým heslem. Ten účet měl naštěstí omezený přístup na intranet, takže se podařilo data vrátit ze záloh beze ztrát. Nastavil jsem tedy maximum 3 pokusy o přihlášení za 15 minut, povinně alespoň 7 místná hesla, zavřel jsem porty a od té doby nic. Chytřejšímu typu útoku by přirozeně tohle minimalistické opatření nezabránilo.

Souhlasím  |  Nesouhlasím  |  Odpovědět
20. 12. 2019 10:50

Pekny clanok. Hodit RDP dostupne priamo z internetu sa mi zda ako velky fail. Ked uz tak dostali po prstoch, tak by mali zvazit bezpecnostny audit. Najdu vam zabudnute slabiny a odporucia dalsie vylepsenia. VLANy maju zmysel, ale treba aj firewall medzi nimi. Pripojenie do firmy bez pouzitia vpnky je vazny fail.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
avatar
20. 12. 2019 09:11

Je vidět, že vzdělání a porozumění technologiím ještě z nikoho nedělá dobrého IT admina.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
avatar
20. 12. 2019 08:16

Stačí si jenom představit kolik děr je nejenom ve widlích ale taky v Intelech a zistíme že dnešním internetovým uživatelům windowsů pomůže jedině Věra Pohlová.

Souhlasím  |  Nesouhlasím  |  Odpovědět
20. 12. 2019 06:48

kolegovi došlo místo tak neaktualizoval :D tak to se vyplatí srát na to na čem zaměstnanec dělá a jestli mu třeba náhodou nedošlo místo :D dobře vám tak

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
20. 12. 2019 00:26

Ať jste připojeni kdekoliv, můžete si být už řadu let jisti, že na vaší IP adrese každou chvilku někdo zkouší porty. A pokud najde např, RDP nebo FTP, tak se do toho teprve opře.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
20. 12. 2019 00:12

Autor si sype popel na hlavu opakovaně. Jedna věc je přiznání problému, ale to, co je tam zmíněno dále, to člověk nestačí zírat. A ještě si po těch milionech chyb na každém kroku (podle popisu se nejedná o zanedbání jedné, nebo dvou věcí, ale celé škály) napíše, že "Celá firma jsme v podstatě IT profesionálové".
Pokud je pravda to, co bylo napsáno, tak rozhodně nejste.
A pokud je pravda to, co je napsáno i pod článkem v komentářích, tak to už snad nejde ani komentovat.Zdar Max

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
19. 12. 2019 22:54

Nicomu som nerozumel lebo nie som IT. Tak nam radsej povedzte nam bfu ako sa branit. Ja uz zalohujem na domaci cloud, ale obavam sa ze je to malo. Lebo je spojeny s pocitacom kablom. Samozrejme firewall a antivirus mam. Komodo. Zatial bez problemom len dokedy.

Souhlasím  |  Nesouhlasím  |  Odpovědi (3)Zavřít odpovědi  |  Odpovědět
19. 12. 2019 22:07

Jaj to bolí - zakázkový vývoj webových aplikací, ale web není ani responsivni. To myslím, že o firmě řekne asi tak vše...

Souhlasím  |  Nesouhlasím  |  Odpovědět
19. 12. 2019 20:30

Podle nadpisu to vypadá že byla zašifrována redakce živě

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
19. 12. 2019 19:11

Nechci být za každou cenu za prudiče, ale přes to bych si dovolil poznamenat, že pokud má někdo takový systém, že lze napadenou pracovní stanicí zavirovat celou infrasktrukturu, tak asi udělal někde chybu a ta jízda po ostří nože jednou skončila tak, jak musela.

Souhlasím  |  Nesouhlasím  |  Odpovědi (4)Zavřít odpovědi  |  Odpovědět
avatar
19. 12. 2019 17:59

Ke mně nijak, pravidelně tak jak se má zálohuji. Tzn., že v mém případě bude napadena pouze běžící mašina (s ničím jiným nepropojená - na to nejsem zvyklý, pro poskytovatele OS chci zůstat anonymním uživatelem), tedy disk s OS a zbývající s DATY (odděluji fyzicky ne pomocí oddílů). Všechny jsou však pravidelně off-line zazálohované sektor/sektor (s kontrolou a nevynucenou obnovou - jiné umístění), takže zálohy a samozřejmě také archiv budou vždy OK.
> Opravdu cenná data, na kterých mi extrémně záleží „proháním” v souladu se smlouvami klientů pouze na mašinách bez fyzického přístupu k síti a bez možnosti připojit jakékoliv externí médium, takže zde nehrozí absolutně nic kromě HW selhání.

Souhlasím  |  Nesouhlasím  |  Odpovědi (3)Zavřít odpovědi  |  Odpovědět
19. 12. 2019 16:09

No, dobrý je taky dělat pravidelné testy. Účet admin s heslem admin by se našel hned.... RDP obecně není dobrý nápad. Být pouze na Windoze taky není dobrý nápad.

Souhlasím  |  Nesouhlasím  |  Odpovědět
19. 12. 2019 15:54

"Bylo otázkou hodin, nikoliv dnů, než došlo k průstřelu skrze zapomenutý lokální účet jednoho z nich – admin s heslem admin" to je vsetko co potrebujete vediet o "profesionalite" administratorov v tej firme, komentovat ostatne veci je uplne zbytocne.

Souhlasím  |  Nesouhlasím  |  Odpovědi (10)Zavřít odpovědi  |  Odpovědět
19. 12. 2019 15:16

Bly by někdo ochoten poradit se zabezpečím proti ransomwaru? Naše spřátelená firma právě byla zasažena a zaplatila výkupné (0,5 BTC). V podstatě máme shodnou strukturu sítě: 1.) lokální Windows Server kde máme účetní software(Pohoda) a 3 pc které jsou připojeny do stejné sítě a odkud si účetní program spuští. Je pravdou, že data (hlavně zálohy účetního programu) ochráním tím že je zašifruji a odešlu např. cloud úložitě? Článek jsem četl, ale jsem lajk a je to pro mě španělská nebo spíš čínská vesnice ... Díky za názor.

Souhlasím  |  Nesouhlasím  |  Odpovědi (7)Zavřít odpovědi  |  Odpovědět
avatar
19. 12. 2019 14:57

Pěkný souhrn napsaný tak, aby to i laik pochopil, ale v podobné infrastruktuře bych vše navrhoval úplně jinak, a to od začátku. Je mi záhadou jak v dnešní době vůbec někdo může otevřít RDP do internetu, minimálně bez další bezpečnostní vrstvy. Jsou daleko bezpečnější a lepší způsoby jak dané servery spravovat vzdáleně mimo interní síť a přistupovat k jakýmkoliv zdrojů v interní síti.

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
19. 12. 2019 14:47

Nikde v článku nevidím zmínku o NGFW, o iNGFW už vůbec ne. Taky žádná informace o NTA nebo IPS zařízení v síti. Tohle je základní problém všech. O mikrosegmentaci pro virtuální prostřední radši mluvit ani nebudu.
EDIT: Co je inteligentní firewall, popř. NTA zařízení:Unknown Malware Detection
Hillstone has built a proprietary engine that has analyzed close to a million “known” malware samples. Each sample has been classified and characterized based on multiple dimensions that describe its actions, assets and attributes. In a production environment, when new malware is encountered, it is also analyzed, characterized and classified. Then it is compared to the database of known malware samples that have already been analyzed. The closer the unknown sample matches a known sample – the higher the confidence level that it is a variant of a known malware sample. This process is called “statistical clustering” and provides an accurate method for identifying new malware.Abnormal Behavior Detection
Hillstone’s Abnormal Behavior engine continuously monitors the network to learn what normal network traffic looks like for that particular day, time, and month; providing alerts when network activity exceeds calculated thresholds. It uses a 50+ dimensional array to calculate normal network traffic from layer L4-L7, called “behavior modeling.” In addition, it has been trained with real hacking tools to ensure that it will readily recognize malicious activity. These techniques limit false positives and provide the user with multiple opportunities to stop an attack.Rich Forensic Analysis
Hillstone delivers a new way of visualizing and analyzing attacks. Every action taken by a potentially malicious code is automatically linked to steps within the “Kill Chain.” It is complemented with rich forensic information that enables the security analyst to determine the origin of the attack, the severity of the attack, and the methodology employed. Hillstone also provides packet capture files, which, when combined with syslog and traffic logs, provide the administrator with a wealth of ancillary information. In addition, user data such as websites visited, applications used, and the risk level of the applications, bring the exploits into sharp focus. Most importantly, Hillstone identifies the exact firewall policy that allowed the attacker to get through the firewall.Preemptive Mitigation
In addition to the ability to make a policy change to prevent an attack, Hillstone has built-in several automatic mitigation features. These features consist of pre-defined templates that automatically slow-down or block an attack if suspicious behavior is detected. The administrator can modify the templates to limit the bandwidth or the number of sessions available to the attacker. He can also adjust the constraints he places on network resources based on the type of attack and the severity level. In cases where the attack is critical and the confidence level is high, mitigation can include a complete blockage of all network resources. And, if a template does not exist or is not active, the administrator can quickly set up a temporary mitigation for that event.

Souhlasím  |  Nesouhlasím  |  Odpovědi (11)Zavřít odpovědi  |  Odpovědět
19. 12. 2019 14:09

Benešovská nemocnice, snad nevyzradním nic tajného, byla nakažena cíleně, nešlo o náhodný útok. Je samozřejmě známý i ten ransomware, který byl použit.Taky jsem zažil ve firmě a není to nic příjemného. Zdroj nákazy jsem nenašel. Ale když zjistíte, že vlastně nemáte ani emaily, ve kterých máte sepsaný disaster recovery plan, nemáte vůbec žádná firemní data, abyste věděli, odkud začít, no je to studená sprcha.
Zálohovali jsme dvěma různými metodami na dvě různá místa, z toho jedna záloha se ukázala jako naprosto nefunkční už delší čas (moje chyba). Stalo se to ve čtvrtek večer, poprvé spát jsem šel v sobotu, plně obnovený provoz byl asi po týdnu...
Výborný tréning, když si člověk uvědomí, jak velké měl štěstí, že šlo jen o náhodný útok. Kdyby nás tehdy napadl někdo zevnitř, dost možná bych nezachránil ani byte.

Souhlasím  |  Nesouhlasím  |  Odpovědi (5)Zavřít odpovědi  |  Odpovědět
avatar
19. 12. 2019 13:50

Článek bez pochyby zajímavý, ale než přehled toho co mají ve firmě tak by mě zajímalo, jak došlo k tomu napadení. Vzdálená plocha vystavená na internet sice není nejlepší nápad, ale pokud je tam účet s rozumným heslem tak by to mělo být relativně bezpečné nebo se pletu? Ten druhý případ je jasný, lokální účet se slabým heslem a ztráty tedy také jen lokální. Ale ten první nechápu, jak se ten vir dostal k účtu doménového admina?

Souhlasím  |  Nesouhlasím  |  Odpovědi (6)Zavřít odpovědi  |  Odpovědět
avatar
19. 12. 2019 13:25

A přitom stačilo tak málo a zadarmo - mít infrastrukturu, Hypervisory, zálohování atd. na oddělené VLANě.

Souhlasím  |  Nesouhlasím  |  Odpovědi (5)Zavřít odpovědi  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor