Upozorňujeme na zvýšené riziko ransomwarových útoků

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na zvýšené riziko ransomwarových útoků vůči České republice. NÚKIB v posledních týdnech eviduje v českém kyberprostoru zvýšenou aktivitu kyberzločineckých skupin, které při svých útocích využívají tuto techniku.

Jedním z častých vektorů útoku, skrze který útočníci získávají přístup do sítí obětí, je zneužívání zranitelností. O některých z nich již NÚKIB v minulosti informoval (upozornění naleznete na našich webových stránkách). S ohledem na současné ransomwarové hrozby jsme identifikovali sadu zranitelností, jejichž opravu považujeme za klíčovou:

• CVE-2018-13379 (FortiOS)
• CVE-2020-12812 (FortiOS)
• CVE-2023-27997 (FortiOS)
• CVE-2022-41080 (MS Exchange)
• CVE-2022-41082 (MS Exchange)
• CVE-2023-34362 (MOVEit)
• CVE-2023-35036 (MOVEit)
• CVE-2023-35708 (MOVEit)
• CVE-2023-27988 (Zyxel)
• CVE-2023-28771 (Zyxel)

Úspěšný průnik do systémů využívající zmíněné zranitelnosti jako vektor útoku může mít za následek krádež dat ze systémů oběti, jejich zašifrování a následné vydírání jak za účelem dešifrování dat, tak jejich zveřejněním ze strany útočníka. Doporučujeme ověřit, zda zranitelné aplikace nevyužíváte a pokud ano, aktualizovat je na nejnovější verzi. Výše uvedený výčet aktuálně zneužívaných zranitelností není konečný, a proto doporučujeme průběžně aktualizovat operační systémy, programy a aplikace a udržovat je na nejaktuálnější verzi.

Zároveň doporučujeme věnovat pozornost také dalším často užívaným vektorům útoku, jako je phishing, kompromitace účtů (doménových/lokálních/VPN), nezabezpečených služeb otevřených do internetu (např. RDP, FTP, SMB…) či kompromitace skrze poskytovatele služeb.

Vedle opravení kritických zranitelností a posílení infrastruktury též doporučujeme nastavení detekčních pravidel na základě dostupných indikátorů kompromitace (IoCs). Subjekty a orgány povinné dle zák. č. 181/2014 Sb., zákon o kybernetické bezpečnosti, mohou využívat sady IoCs sdílené ze strany NÚKIB prostřednictvím platformy Neweb.

Kromě výše uvedeného doporučujeme dodržovat základní bezpečnostní opatření k zabezpečení sítě před ransomwarem:

• Vytvářet bezpečné zálohy, uchovávat je mimo infrastrukturu a pravidelně testovat jejich použití.
• Zablokovat služby otevřené do veřejné sítě, vyjma těch nejnutnějších a ty dostatečně zabezpečit.
• Omezit přístup k administrátorským účtům.
• Nastavit skrze bezpečnostní politiky povinnost používat silná a bezpečná hesla.
• Segmentovat síť vaší organizace dle bezpečnostních možností a potřeb.
• Ukládat síťové logy na nezávislém serveru mimo podnikovou síť.
• Zvyšovat povědomí uživatelů o hrozbě ransomware a jeho vektorech.

Detailní přehled jednotlivých opatření a doporučení naleznete v našem nově aktualizovaném dokumentu RANSOMWARE: DOPORUČENÍ PRO MITIGACI, PREVENCI A REAKCI.