Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na zvýšené riziko ransomwarových útoků vůči České republice. NÚKIB v posledních týdnech eviduje v českém kyberprostoru zvýšenou aktivitu kyberzločineckých skupin, které při svých útocích využívají tuto techniku.
Jedním z častých vektorů útoku, skrze který útočníci získávají přístup do sítí obětí, je zneužívání zranitelností. O některých z nich již NÚKIB v minulosti informoval (upozornění naleznete na našich webových stránkách). S ohledem na současné ransomwarové hrozby jsme identifikovali sadu zranitelností, jejichž opravu považujeme za klíčovou:
- CVE-2018-13379 (FortiOS)
- CVE-2020-12812 (FortiOS)
- CVE-2023-27997 (FortiOS)
- CVE-2022-41080 (MS Exchange)
- CVE-2022-41082 (MS Exchange)
- CVE-2023-34362 (MOVEit)
- CVE-2023-35036 (MOVEit)
- CVE-2023-35708 (MOVEit)
- CVE-2023-27988 (Zyxel)
- CVE-2023-28771 (Zyxel)
- CVE-2021-21972 (VMware vCenter)
-
CVE-2021-21974 (VMware ESXi)
Úspěšný průnik do systémů využívající zmíněné zranitelnosti jako vektor útoku může mít za následek krádež dat ze systémů oběti, jejich zašifrování a následné vydírání jak za účelem dešifrování dat, tak jejich zveřejněním ze strany útočníka. Doporučujeme ověřit, zda zranitelné aplikace nevyužíváte a pokud ano, aktualizovat je na nejnovější verzi. Výše uvedený výčet aktuálně zneužívaných zranitelností není konečný, a proto doporučujeme průběžně aktualizovat operační systémy, programy a aplikace a udržovat je na nejaktuálnější verzi.
Zároveň doporučujeme věnovat pozornost také dalším často užívaným vektorům útoku, jako je phishing, kompromitace účtů (doménových/lokálních/VPN), nezabezpečených služeb otevřených do internetu (např. RDP, FTP, SMB…) či kompromitace skrze poskytovatele služeb.
Vedle opravení kritických zranitelností a posílení infrastruktury též doporučujeme nastavení detekčních pravidel na základě dostupných indikátorů kompromitace (IoCs). Subjekty a orgány povinné dle zák. č. 181/2014 Sb., zákon o kybernetické bezpečnosti, mohou využívat sady IoCs sdílené ze strany NÚKIB prostřednictvím platformy Neweb.
Kromě výše uvedeného doporučujeme dodržovat základní bezpečnostní opatření k zabezpečení sítě před ransomwarem:
- Vytvářet bezpečné zálohy, uchovávat je mimo infrastrukturu a pravidelně testovat jejich použití.
- Zablokovat služby otevřené do veřejné sítě, vyjma těch nejnutnějších a ty dostatečně zabezpečit.
- Omezit přístup k administrátorským účtům.
- Nastavit skrze bezpečnostní politiky povinnost používat silná a bezpečná hesla.
- Segmentovat síť vaší organizace dle bezpečnostních možností a potřeb.
- Ukládat síťové logy na nezávislém serveru mimo podnikovou síť.
- Zvyšovat povědomí uživatelů o hrozbě ransomware a jeho vektorech.
Detailní přehled jednotlivých opatření a doporučení naleznete v našem nově aktualizovaném dokumentu RANSOMWARE: DOPORUČENÍ PRO MITIGACI, PREVENCI A REAKCI.