Get best of the week

Serang udalenka


Dalam beberapa hari terakhir, media berita Rusia telah penuh dengan laporan bahwa para ahli telah mencatat peningkatan serangan siber dengan latar belakang transisi orang ke lokasi terpencil. Seperti yang mereka katakan, kepada siapa perang, dan kepada siapa ibu adalah asli. Juga, berbagai perusahaan yang berspesialisasi dalam keamanan informasi setuju bahwa sifat serangan pada tahun 2020 telah berubah. Mari kita lihat bagaimana jumlah serangan peretas telah meningkat sejak orang mulai bekerja dalam jumlah besar dari rumah, jenis serangan apa pada server virtual dan komputer pribadi sampai ke puncak dan bagaimana melindungi diri Anda dari mereka.

Statistik Serangan Peretas


Selama beberapa minggu terakhir, jumlah serangan hacker dari beberapa ratus telah meningkat menjadi 5 ribu per hari. Spesialis memperingatkan bahwa situs web dengan kata-kata corona atau covid yang disebutkan dalam domain, serta file yang namanya menyebutkan coronavirus, berpotensi menimbulkan bahaya. Tapi bukan hanya mereka.

Kembali pada bulan November 2019, Kaspersky Lab memperkirakan bahwa apa yang disebut ancaman kompleks dan serangan yang ditargetkan (Advanced Persistent Threats, ART) akan mendapatkan momentum di tahun mendatang: ini adalah kebocoran data biometrik, dan penggunaan AI untuk profil korban dan membuat informasi palsu (deepfake), dan pemerasan yang ditargetkan. Adapun yang terakhir, ada saran bahwa penyerang akan menyimpang dari metode mendistribusikan program ransomware universal dan berkonsentrasi pada pemilihan target korban yang bersedia membayar banyak untuk memulihkan data mereka.

Namun, pandemi menetapkan aturannya sendiri dan dalam laporan Kaspersky yang sama kita melihat bahwa, misalnya, April ini puncak ancaman dipimpin oleh serangan intrusi menggunakan program ransomware universal yang ditujukan untuk komputer yang menjalankan Windows. Ini sedang dilaksanakan dalam upaya untuk mengeksploitasi kerentanan SMB (Server Message Block), protokol jaringan tingkat aplikasi yang bekerja melalui port TCP 139 dan 445, yang digunakan untuk menyediakan akses bersama ke file dan printer, serta untuk mengakses layanan dari jarak jauh.

Eksploitasi kerentanan ini yang berhasil dapat mengakibatkan eksekusi kode jarak jauh pada komputer yang diserang, yang memungkinkan penyerang mengunduh program ransomware dan mendistribusikannya ke node rentan lainnya di jaringan.


Ancaman teratas dari Kaspersky Lab pada April 2020

Di tempat kedua adalah serangan Bruteforce, yang terdiri dari pemilihan kata sandi atau kunci enkripsi untuk protokol desktop jarak jauh RDP - ini adalah protokol milik Microsoft yang menyediakan pengguna dengan antarmuka grafis untuk menghubungkan ke komputer lain melalui jaringan. Protokol RDP banyak digunakan oleh administrator sistem dan pengguna biasa untuk mengontrol server dan komputer lain dari jarak jauh.

Dan di bawah ini pada grafik adalah jumlah total tanggapan antivirus perusahaan terhadap ancaman dari daftar pada bulan April. Ada peningkatan yang jelas dibandingkan dengan akhir Maret dan awal April. Semua statistik dapat dilihat di sini .



Ngomong-ngomong, tempo hari, Laboratorium menemukan versi modifikasi dari Android Trojan Ginp, yang meminta bayaran untuk menunjukkan kepada orang yang terinfeksi di dekatnya dengan virus SARS-CoV-2.

Peningkatan tajam lima kali lipat dalam serangan siber tercatat oleh Organisasi Kesehatan Dunia. Serangan dilakukan baik pada personel perusahaan maupun pada populasi.

Dibandingkan dengan kuartal pertama tahun lalu, intensitas serangan DDoS dua kali lipat pada periode yang sama tahun ini. Dalam serangan DDoS terbesar tahun 2020 di saluran korban, lalu lintas sampah dengan intensitas 406 Gbit / detik mengalir, sedangkan serangan puncak pada kuartal pertama tahun 2019 adalah 224 Gbit / detik. Sebanyak 51 serangan dicatat dengan intensitas di atas 50 Gb / dtk, dan intensitas rata-rata adalah 5 Gb / dtk dibandingkan 4,3 Gb / dt tahun lalu ( Cnews, mengacu pada data perusahaan Link11).

Jumlah serangan multi-vektor telah meningkat dari 47% menjadi 64%; Namun, 66% dari semua serangan multi-vektor terdiri dari dua atau tiga vektor yang digunakan secara bersamaan. Bahkan ada 19 kasus ketika penyerang menggunakan 10 vektor atau lebih! Pada 2019, tidak ada serangan seperti itu. Metode yang paling umum digunakan adalah refleksi DNS, CLDAP, NTP, dan WS-Discovery (ibid.).

Jumlah serangan yang dilakukan dari botnet berbasis cloud telah meningkat: pada kuartal pertama 2020 sekitar 47% serangan DDoS berasal dari botnet tersebut dibandingkan dengan 31% dari tahun sebelumnya (ibid.).

Dalam beberapa hari terakhir, Sberbank telah melihat peningkatan serangan DDoS pada sistemnya. Sejak awal tahun sudah ada 26 dari mereka, namun bank mengklaim beroperasi secara normal.

Setelah transisi anak-anak ke pembelajaran jarak jauh, jumlah serangan dunia maya di lembaga pendidikan meningkat empat kali pada bulan April. Paling sering, serangan terhadap sistem informasi sekolah dan universitas dilakukan untuk pencurian data pribadi dan informasi kontak siswa dengan maksud untuk digunakan lebih lanjut dalam rekayasa sosial. Pranker yang mengeksploitasi kelemahan dalam platform pembelajaran online juga “populer”, menyerbu obrolan dan konferensi dan mengganggu proses pembelajaran (menurut Infosecurity a Softline Company).

Di darknet, jumlah penawaran untuk penjualan akses ke server perusahaan dunia besar meningkat 30 kali: jika setahun yang lalu mereka hanya ditawari tiga, maka pada kuartal pertama tahun 2020 - 88! Dalam sepertiga kasus, ini adalah perusahaan dengan pendapatan tahunan rata-rata $ 23 miliar hingga $ 45 miliar, dan infrastruktur organisasi memiliki hingga 6.000 komputer. Pada platform ilegal, mereka hanya menjual " titik masuk " tertentu ke infrastruktur internal perusahaan. Paling sering, ini adalah kredensial yang diretas dari pengguna atau administrator lokal (RIA Novosti dengan referensi ke data dari pusat penelitian Positive Technologies, Positive Research).

Jenis serangan paling umum pada VPS dan PC selama 4 bulan 2020


Spam dan serangan phishing. Dalam surat-surat, penyerang mengeksploitasi tema epidemi, dengan bantuan yang mereka dapatkan tindakan yang diperlukan dari pengguna (misalnya, membuka lampiran) yang memulai pelaksanaan kode berbahaya. Akibatnya, peretas mendapatkan akses ke desktop jarak jauh, akses ke mesin yang disusupi, kemampuan untuk memantau tindakan yang dituju, kemungkinan peretasan hingga enkripsi server perusahaan dan peluang lain yang ditawarkan rekayasa sosial kepada penyerang.

Itu bisa:

  • "Rekomendasi untuk perlindungan terhadap coronavirus." 
  • Banding diduga dari Organisasi Kesehatan Dunia untuk mengunduh dokumen informasi penting, mengirim sumbangan atau berkontribusi untuk pengembangan vaksin (WHO bahkan mengeluarkan peringatan tentang ini).
  • . / -.
  • « » , , , , , . — «».
  • « » - .


Peringatan Phishing dari Dugaan Pharmacy.ru

Menyerang Remote Desktops. Kesalahan keamanan telah terdeteksi yang memungkinkan penyerang mendapatkan kendali penuh atas komputer berbasis Windows melalui desktop jarak jauh - BlueKeep (CVE-2019-0708). Selama tiga minggu terakhir, jumlah node jaringan yang dapat diakses melalui protokol RDP telah meningkat sebesar 9% dan berjumlah lebih dari 112 ribu. Sekarang lebih dari 10% dari sumber daya tersebut rentan terhadap BlueKeep (ibid.)

Serangan DDoS pada VPN.Dengan peningkatan karyawan yang bekerja dari jarak jauh, penggunaan jaringan VPN, yang melibatkan akses dari berbagai titik, telah meningkat tajam. Ini memungkinkan penyelenggara serangan DDoS untuk membebani jaringan dan menyebabkan gangguan serius pada semua proses. Penting untuk menerapkan teknologi proaktif untuk perlindungan terhadap serangan DDoS, yang tujuannya adalah untuk mencegah infeksi sistem pengguna, menghilangkan potensi konflik dan ancaman sebelum terjadi, dan tidak mencari malware yang sudah dikenal.

Serangan pada aplikasi jaringan dan API. Aplikasi dan layanan rentan terhadap serangan seperti Layer 7 yang menargetkan logika aplikasi web. Tujuan utama mereka adalah kehabisan sumber daya server web saat memproses permintaan "berat", fungsi pemrosesan intensif, atau memori.


CERT-GIB

:


Merangkum rekomendasi para ahli dari bagian pertama artikel, kita dapat membedakan tip umum berikut untuk memastikan keamanan informasi di karantina. Beberapa dari mereka akan tampak jelas bagi banyak orang untuk waktu yang lama, tetapi mengingat mereka tidak akan menyakitkan.

Periksa apakah perusahaan atas nama siapa surat itu tiba. Apakah perusahaan memiliki jejaring sosial, apa pun menyebutkannya di Internet. Penipu dapat menggunakan informasi terbuka tentang perusahaan dari sumber resmi, jadi jika Anda masih ragu, tanyakan kepada perusahaan untuk konfirmasi pengiriman surat ini.

Periksa apakah data di bidang pengirim dan dalam tanda tangan otomatis cocok. Anehnya, cukup sering di sini scammers melakukan kesalahan.

Lihatlah ekstensi file yang dilampirkan.Jangan buka file yang dapat dieksekusi.

Instal solusi keamanan yang dapat diandalkan untuk server email Anda. Itu harus secara teratur diperbarui dan menggunakan database saat ini.

Gunakan laptop perusahaan untuk karyawan jarak jauh. Instal di dalamnya antivirus korporat yang diperlukan agar perangkat lunak berfungsi, menyediakan otentikasi dua faktor, enkripsi disk, tingkat aktivitas pencatatan yang tepat, serta pembaruan otomatis semua sistem yang tepat waktu.

Instal perlindungan antivirus tercanggih di VPS. Misalnya, kami menawarkan agen antivirus yang mudah bagi pelanggan kamiKaspersky untuk lingkungan virtual, yang menyediakan: perlindungan jaringan multi-level dari serangan jaringan eksternal dan internal, kontrol aplikasi dan perangkat, perlindungan otomatis dari eksploitasi, memiliki kontrol diri bawaan. 

Konfigurasikan akses jarak jauh melalui gateway khusus. Untuk koneksi RDP, ini adalah Remote Desktop Gateway (RDG), untuk VPN - VPN Gateway. Jangan gunakan koneksi jarak jauh langsung ke workstation.

Gunakan akses VPN otentikasi dua faktor. 

Cadangkan data utama.

Instal perlindungan DDOS di VPS. Penyedia cloud menawarkan kondisi yang berbeda. Di sini, sekali lagi, perlindungan memungkinkan kita untuk secara stabil menahan 1500 Gbit / s. Analisis lalu lintas berlangsung 24/7. Dalam hal ini, pembayaran hanya untuk lalu lintas yang diperlukan.

Periksa hak akses karyawan dan lakukan segmentasi jaringan dan pemisahan hak akses.

Gunakan PortKnocking , perlindungan jaringan server berdasarkan pada metode yang memungkinkan Anda membuat porta "tidak terlihat" ke dunia luar dan terlihat oleh mereka yang mengetahui urutan paket data yang telah ditentukan yang akan membuka port (misalnya, SSH).

Tetapkan batasan untuk mengunduh aplikasi pihak ketiga , terutama platform online dan messenger kolaborasi, untuk mencegah kemungkinan kebocoran informasi rahasia.

Periksa semua layanan dan peralatan yang digunakan untuk akses jarak jauh untuk firmware yang diperbarui dan patch keamanan.
 
Berikan pelatihan tentang dasar-dasar keamanan digitalsebelum karyawan pergi ke mode operasi jarak jauh.

Asuransi risiko IT , tentu saja, tidak akan membantu mengembalikan data, tetapi akan membantu menutupi kerusakan dari peretasan komputer. Benar, sekarang di Rusia ini adalah jenis produk baru untuk perusahaan asuransi, jadi ada beberapa unit. RUVDS menawarkan kepada para pelanggannya dua opsi asuransi: kebijakan umum untuk semua atau kondisi khusus untuk asuransi individu, yang dibahas secara terpisah dalam setiap kasus unik. 

Secara terpisah, kami mencatat masalah dengan 1C pada remote. Menempatkan 1C kotak untuk karyawan jarak jauh itu mahal, tidak aman, dan seringkali tidak berguna. Tidak terbiasa dengan cara kerja ini, akuntan akan lupa untuk menyinkronkan data; kesalahan dalam bekerja dengan sistem akan membutuhkan partisipasi jarak jauh dari administrator sistem perusahaan atau perwakilan dari pemasok program (untuk biaya), ada risiko pengeringan database ke pesaing. Keluar: sewa server VPS jarak jauh dari 1C .

Cara memantau layanan Anda untuk kerentanan tipikal


Semua skenario pemantauan bertujuan untuk mengumpulkan data yang diperlukan untuk investigasi insiden yang paling cepat dan efektif. Apa yang penting dilakukan pertama kali?

Pantau akses penyimpanan file , gunakan SIEM . Idealnya, ini adalah pengaturan audit untuk daftar file yang tidak boleh diakses karyawan di situs jarak jauh. Minimum adalah mengatur logging akses penyimpanan dan operasi file.


Ilustrasi dari situs styletele.com.

Log alamat eksternal pengguna yang terhubung untuk pekerjaan jarak jauh. Gunakan referensi geografis pengguna untuk ini dengan bantuan layanan yang sesuai (setelah memastikan keamanannya).

Identifikasi workstation domain dan non-domaindengan koneksi jarak jauh.

Pantau koneksi administrator dan buat perubahan konfigurasi ke layanan infrastruktur penting. Mendeteksi duplikat login dengan remote dan melacak upaya koneksi yang gagal.

Dan secara umum: melakukan tindakan seperti itu di muka yang akan membantu meningkatkan keakuratan identifikasi koneksi tidak sah dalam jumlah besar permintaan yang dihasilkan pada jaringan selama total akses jarak jauh.

Kami berharap materi ini bermanfaat bagi Anda. Seperti biasa, kami akan dengan senang hati memberikan komentar yang membangun pada artikel tersebut. Tetap di rumah dan jaga diri Anda dan bisnis Anda tetap aman!

More articles:


All Articles