Get best of the week

Angriff auf Udalenka


In den letzten Tagen gab es in den russischen Nachrichtenmedien zahlreiche Berichte, wonach Experten eine Zunahme der Cyberangriffe vor dem Hintergrund des Übergangs von Menschen nach Udalenka festgestellt haben. Wie sie sagen, wem der Krieg und wem die Mutter lieb ist. Verschiedene auf Informationssicherheit spezialisierte Unternehmen sind sich auch einig, dass sich die Art der Angriffe im Jahr 2020 geändert hat. Mal sehen, wie die Anzahl der Hackerangriffe zugenommen hat, seit Menschen massiv von zu Hause aus zu arbeiten begannen, welche Arten von Angriffen auf virtuelle Server und PCs an die Spitze kamen und wie Sie sich vor ihnen schützen können.

Hacker-Angriffsstatistik


In den letzten Wochen ist die Anzahl der Hackerangriffe von mehreren hundert auf 5.000 pro Tag gestiegen. Fachleute warnen davor, dass Websites mit den in der Domain genannten Wörtern corona oder covid sowie Dateien, deren Namen Coronavirus erwähnen, eine potenzielle Gefahr darstellen. Aber nicht nur sie.

Bereits im November 2019 hatte Kaspersky Lab vorausgesagt, dass die sogenannten komplexen Bedrohungen und gezielten Angriffe (Advanced Persistent Threats, ART) im kommenden Jahr an Dynamik gewinnen werden: Dies war das Durchsickern biometrischer Daten und die Verwendung von KI zur Profilierung des Opfers und zur Erstellung von Informationsfälschungen (Deepfake). und gezielte Erpressung. In Bezug auf letztere gab es Vorschläge, dass Angreifer von den Methoden zur Verbreitung universeller Ransomware-Programme abweichen und sich auf die gezielte Auswahl von Opfern konzentrieren sollten, die bereit waren, viel für die Wiederherstellung ihrer Daten zu zahlen.

Die Pandemie legt jedoch ihre eigenen Regeln fest, und im Bericht desselben Kaspersky sehen wir, dass beispielsweise im April dieses Jahres die Spitze der Bedrohungen durch einen Intrusion-Angriff mit einem universellen Ransomware-Programm für Computer unter Windows angeführt wird. Es wird implementiert, um die Schwachstellen von SMB (Server Message Block) auszunutzen - einem Netzwerkprotokoll auf Anwendungsebene, das über die TCP-Ports 139 und 445 funktioniert und den gemeinsamen Zugriff auf Dateien und Drucker sowie den Remotezugriff auf Dienste ermöglicht.

Eine erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeiten kann zu einer Remotecodeausführung auf den angegriffenen Computern führen, sodass ein Angreifer das Ransomware-Programm herunterladen und an andere anfällige Knoten im Netzwerk verteilen kann.


Top-Bedrohungen von Kaspersky Lab im April 2020

An zweiter Stelle steht der Bruteforce-Angriff, bei dem ein Kennwort oder ein Verschlüsselungsschlüssel für das RDP-Remotedesktopprotokoll ausgewählt wird. Hierbei handelt es sich um das proprietäre Protokoll von Microsoft, das dem Benutzer eine grafische Oberfläche für die Verbindung mit einem anderen Computer über das Netzwerk bietet. Das RDP-Protokoll wird sowohl von Systemadministratoren als auch von normalen Benutzern häufig zur Fernsteuerung von Servern und anderen Computern verwendet.

In der Grafik ist die Gesamtzahl der Antiviren-Antworten des Unternehmens auf Bedrohungen aus der Liste im April aufgeführt. Gegenüber Ende März und Anfang April ist ein deutlicher Anstieg zu verzeichnen. Alle Statistiken können hier eingesehen werden .



Neulich entdeckte das Labor eine modifizierte Version des Android-Trojaners Ginp, die eine Gebühr für die Anzeige von Personen verlangt, die in der Nähe mit dem SARS-CoV-2-Virus infiziert sind.

Die Weltgesundheitsorganisation verzeichnete einen starken fünffachen Anstieg der Cyberangriffe. Angriffe wurden sowohl auf das Personal des Unternehmens als auch auf die Bevölkerung durchgeführt.

Im Vergleich zum ersten Quartal des vergangenen Jahres hat sich die Intensität der DDoS-Angriffe im gleichen Zeitraum dieses Jahres verdoppelt. Beim größten DDoS-Angriff des Jahres 2020 auf die Kanäle des Opfers strömte Müllverkehr mit einer Intensität von 406 Gbit / s ein, während der Spitzenangriff im ersten Quartal 2019 224 Gbit / s betrug. Insgesamt wurden 51 Angriffe mit Intensitäten über 50 Gbit / s festgestellt, und die durchschnittliche Intensität betrug 5 Gbit / s gegenüber 4,3 Gbit / s im Vorjahr ( Cnews)unter Bezugnahme auf die Daten der Firma Link11).

Die Anzahl der Multi-Vektor-Angriffe ist von 47% auf 64% gestiegen. 66% aller Multi-Vektor-Angriffe bestanden jedoch aus zwei oder drei gleichzeitig verwendeten Vektoren. Es gab sogar 19 Fälle, in denen Angreifer 10 oder mehr Vektoren verwendeten! Im Jahr 2019 gab es keine derartigen Angriffe. Die am häufigsten verwendeten Methoden sind DNS-Reflektion, CLDAP, NTP und WS-Discovery (ebenda).

Die Anzahl der Angriffe von Cloud-basierten Botnetzen hat zugenommen: Im ersten Quartal 2020 stammten etwa 47% der DDoS-Angriffe von solchen Botnetzen aus, verglichen mit 31% des Vorjahres (ebenda).

In den letzten Tagen hat die Sberbank eine Zunahme von DDoS-Angriffen auf ihre Systeme verzeichnet. Seit Jahresbeginn gab es bereits 26 von ihnen. Die Bank behauptet jedoch, normal zu arbeiten.

Nach dem Übergang von Kindern zum Fernunterricht stieg die Zahl der Cyber-Angriffe auf Bildungseinrichtungen im April um das Vierfache. Am häufigsten werden Angriffe auf die Informationssysteme von Schulen und Universitäten wegen Diebstahls personenbezogener Daten und Kontaktinformationen von Studenten im Hinblick auf deren weitere Verwendung im Social Engineering durchgeführt. Scherze, die Schwachstellen in Online-Lernplattformen ausnutzen, sind ebenfalls „beliebt“, greifen in Chats und Konferenzen ein und stören den Lernprozess (laut Infosecurity, einem Softline-Unternehmen).

Im Darknet hat sich die Anzahl der Angebote für den Verkauf des Zugangs zu den Servern großer Weltunternehmen um das 30-fache erhöht: Wenn ihnen vor einem Jahr nur drei angeboten wurden, dann im ersten Quartal 2020 - 88! In einem Drittel der Fälle handelt es sich um Unternehmen mit einem durchschnittlichen Jahreseinkommen von 23 bis 45 Milliarden US-Dollar, und die Infrastruktur von Organisationen verfügt über bis zu 6.000 Computer. Auf illegalen Plattformen verkaufen sie nur bestimmte „ Einstiegspunkte “ an die interne Infrastruktur von Unternehmen. Meist handelt es sich dabei um gehackte Anmeldeinformationen eines Benutzers oder lokalen Administrators (RIA Novosti unter Bezugnahme auf die Daten des Positive Technologies-Forschungszentrums Positive Research).

Die häufigsten Arten von Angriffen auf VPS und PC für 4 Monate im Jahr 2020


Spam- und Phishing-Angriffe. In Briefen nutzen Angreifer das Thema der Epidemie aus, mit deren Hilfe sie die erforderlichen Aktionen von Benutzern erhalten (z. B. einen Anhang öffnen), die mit der Ausführung von Schadcode beginnen. Dadurch erhalten Hacker Zugriff auf Remote-Desktops, Zugriff auf gefährdete Computer, die Möglichkeit, die Aktionen des Empfängers zu überwachen, die Möglichkeit eines Hackings bis zur Verschlüsselung der Server des Unternehmens und andere Möglichkeiten, die Social Engineering Angreifern bietet.

Es kann sein:

  • "Empfehlungen zum Schutz vor Coronavirus." 
  • Appeals angeblich von der Weltgesundheitsorganisation ein wichtiges Informationsdokument zum Download, sendet Spenden oder einen Beitrag zur Entwicklung von Impfstoffen (WHO selbst gab eine Warnung über diese).
  • . / -.
  • « » , , , , , . — «».
  • « » - .


Phishing-Warnungen von angeblich Pharmacy.ru-

Angriffen auf Remote-Desktops. Es wurde ein Sicherheitsfehler festgestellt, der es einem Angreifer ermöglicht, über den Remotedesktop BlueKeep (CVE-2019-0708) die vollständige Kontrolle über einen Windows-basierten Computer zu erlangen. In den letzten drei Wochen ist die Anzahl der über das RDP-Protokoll zugänglichen Netzwerkknoten um 9% gestiegen und betrug mehr als 112.000. Mittlerweile sind über 10% dieser Ressourcen für BlueKeep anfällig (ebenda).

DDoS-Angriffe auf VPN.Mit der Zunahme von Mitarbeitern, die remote arbeiten, hat die Nutzung von VPN-Netzwerken, die den Zugriff von vielen verschiedenen Punkten aus beinhalten, stark zugenommen. Auf diese Weise können DDoS-Angriffsorganisatoren Netzwerke überlasten und alle Prozesse ernsthaft stören. Es ist wichtig, proaktive Technologien zum Schutz vor DDoS-Angriffen einzusetzen, um eine Infektion des Benutzersystems zu verhindern, potenzielle Konflikte und Bedrohungen zu beseitigen, bevor sie auftreten, und nicht nach bereits bekannter Malware zu suchen.

Angriffe auf Netzwerkanwendungen und APIs. Anwendungen und Dienste sind anfällig für Angriffe wie Layer 7, die auf die Webanwendungslogik abzielen. Ihr Hauptzweck ist die Erschöpfung der Webserverressourcen bei der Verarbeitung "schwerer" Anforderungen, intensiver Verarbeitungsfunktionen oder des Speichers.


CERT-GIB

:


Wenn wir die Empfehlungen von Experten aus dem ersten Teil des Artikels zusammenfassen, können wir die folgenden allgemeinen Tipps zur Gewährleistung der Informationssicherheit in Quarantäne unterscheiden. Einige von ihnen werden vielen für lange Zeit offensichtlich erscheinen, aber sich daran zu erinnern, wird nicht schaden.

Überprüfen Sie, ob das Unternehmen, in dessen Namen der Brief eingetroffen ist. Verfügt das Unternehmen über soziale Netzwerke, die im Internet erwähnt werden? Betrüger können offene Informationen über das Unternehmen aus offiziellen Quellen verwenden. Wenn Sie also immer noch Zweifel haben, bitten Sie das Unternehmen um Bestätigung des Versands dieses Schreibens.

Überprüfen Sie, ob die Daten im Absenderfeld und in der automatischen Signatur übereinstimmen. Seltsamerweise machen Betrüger schon oft hier einen Fehler.

Schauen Sie sich die Erweiterung der angehängten Dateien an.Öffnen Sie die ausführbare Datei nicht.

Installieren Sie eine zuverlässige Sicherheitslösung für Ihren Mailserver. Es sollte regelmäßig aktualisiert werden und aktuelle Datenbanken verwenden.

Verwenden Sie Unternehmens-Laptops für Remote-Mitarbeiter. Installieren Sie darauf das Unternehmens-Antivirus, das für die Funktion der Software erforderlich ist, und stellen Sie eine Zwei-Faktor-Authentifizierung, Festplattenverschlüsselung, eine ordnungsgemäße Ereignisprotokollierung sowie eine zeitnahe automatische Aktualisierung aller Systeme bereit.

Installieren Sie den neuesten Virenschutz auf VPS. Zum Beispiel bieten wir unseren Kunden einen einfachen Antiviren-Agenten anKaspersky für virtuelle Umgebungen bietet: mehrstufigen Netzwerkschutz gegen externe und interne Netzwerkangriffe, Anwendungs- und Gerätesteuerung, automatischen Schutz vor Exploits, integrierte Selbstkontrolle. 

Konfigurieren Sie den Remotezugriff über ein spezielles Gateway. Bei RDP-Verbindungen ist dies Remotedesktop-Gateway (RDG) für VPN - VPN-Gateway. Verwenden Sie keine Remoteverbindung direkt zur Workstation.

Verwenden Sie den VPN-Zugriff für die Zwei-Faktor-Authentifizierung. 

Sichern Sie wichtige Daten.

Installieren Sie den DDOS-Schutz auf dem VPS. Cloud-Anbieter bieten unterschiedliche Bedingungen. Auch hier können wir durch Schutz 1500 Gbit / s stabil aushalten. Die Verkehrsanalyse findet rund um die Uhr statt. In diesem Fall erfolgt die Zahlung nur für den erforderlichen Verkehr.

Überprüfen Sie die Zugriffsrechte der Mitarbeiter und führen Sie eine Netzwerksegmentierung und Trennung der Zugriffsrechte durch.

Verwenden Sie PortKnocking , den Netzwerkschutz eines Servers, der auf einer Methode basiert, mit der Sie einen Port für die Außenwelt „unsichtbar“ und für diejenigen sichtbar machen können, die eine vordefinierte Folge von Datenpaketen kennen, die den Port öffnen (z. B. SSH).

Legen Sie Einschränkungen für das Herunterladen von Anwendungen von Drittanbietern fest , insbesondere von Online-Plattformen und Messenger für die Zusammenarbeit, um zu verhindern, dass vertrauliche Informationen verloren gehen.

Überprüfen Sie alle für den Remotezugriff verwendeten Dienste und Geräte auf aktualisierte Firmware und Sicherheitspatches.
 
Bieten Sie Schulungen zu den Grundlagen der digitalen Sicherheit anbevor die Mitarbeiter zu einer Remote-Betriebsart aufbrechen.

Die Versicherung von IT-Risiken hilft natürlich nicht bei der Wiederherstellung von Daten, aber es hilft, den Schaden durch das Hacken von Computern zu decken. Es stimmt, jetzt in Russland ist dies eine neue Art von Produkt für Versicherungsunternehmen, also gibt es buchstäblich Einheiten. RUVDS bietet seinen Kunden zwei Versicherungsoptionen an: eine allgemeine Police für alle oder besondere Bedingungen für eine Einzelversicherung, die in jedem Einzelfall einzeln besprochen werden. 

Separat stellen wir Probleme mit 1C auf der Fernbedienung fest. Das Versenden von 1C-Boxen an entfernte Mitarbeiter ist teuer, unsicher und oft einfach nutzlos. Buchhalter, die an diese Arbeitsweise nicht gewöhnt sind, werden vergessen, Daten zu synchronisieren. Fehler bei der Arbeit mit dem System erfordern die Fernbeteiligung des Systemadministrators des Unternehmens oder des Vertreters des Programmanbieters (gegen Gebühr). Es besteht die Gefahr, dass die Datenbank an Wettbewerber weitergegeben wird. Beenden: Miete von Remote- VPS- Servern von 1C .

So überwachen Sie Ihre Dienste auf typische Sicherheitslücken


Alle Überwachungsszenarien zielen darauf ab, die Daten zu sammeln, die für eine möglichst schnelle und effektive Untersuchung des Vorfalls erforderlich sind. Was ist zuerst wichtig zu tun?

Überwachen Sie den Dateispeicherzugriff und verwenden Sie SIEM . Im Idealfall handelt es sich hierbei um eine Überwachungskonfiguration für Listen von Dateien, auf die Mitarbeiter am Remotestandort nicht zugreifen dürfen. Minimum ist das Einrichten der Protokollierung von Speicherzugriffen und Dateivorgängen.


Abbildung von der Website styletele.com.

Protokollieren Sie externe Adressen von Benutzern, die sich für Remote-Arbeiten verbinden. Verwenden Sie dazu die Georeferenzierung von Benutzern mithilfe geeigneter Dienste (nachdem Sie deren Sicherheit sichergestellt haben).

Identifizieren Sie Domänen- und Nichtdomänenarbeitsstationenmit einer Fernverbindung.

Überwachen Sie die Verbindungen der Administratoren und nehmen Sie Konfigurationsänderungen an kritischen Infrastrukturdiensten vor. Erkennen Sie doppelte Anmeldungen per Remote und verfolgen Sie fehlgeschlagene Verbindungsversuche.

Und im Allgemeinen: Führen Sie solche Aktionen im Voraus aus, um die Genauigkeit der Identifizierung unzulässiger Verbindungen in der Masse der Anforderungen zu erhöhen, die während des vollständigen Remotezugriffs im Netzwerk generiert werden.

Wir hoffen, dass das Material für Sie nützlich war. Wie immer freuen wir uns über konstruktive Kommentare zum Artikel. Bleiben Sie zu Hause und schützen Sie sich und Ihr Unternehmen!

More articles:


All Articles