Az elmúlt időszakban ugye több nagy visszhangot keltett ransomware-támadás is történt (Colonial Pipeline, JBS), a mai posztban ezekkel kapcsolatos friss híreket és többféle forrásból származó, kifejezetten zsarolóvírus-támadások elleni védekezéshez használható tanácsokat gyűjtöttem össze.
Egy hete érkeztek részletek arról, hogyan tudták a támadók kompromittálni a Colonial Pipeline rendszereit. A jelek szerint ahhoz az incidenshez, aminek következtében az USA keleti felén mindenhol (repülőterektől a különböző méretű benzinkutakig) zavarokat okozott az üzemanyag-ellátásban, egyetlen, hanyagul kezelt/megválasztott jelszó kiszivárgására vezetett, persze azzal a kiegészítéssel, hogy ez a jelszó egy felhasználó (két- vagy többfaktoros authentikációt nélkülöző, kizárólag felhasználónévre és a kompromittált jelszóra építő) VPN-hozzáféréséhez tartozott. A VPN-felhasználó ráadásul már nem is volt aktív használatban, tehát tisztán látható, hogy a Colonial Pipeline számos alapvető biztonsági ökölszabályt hagyott figyelmen kívül. A FireEye/Mandiant vizsgálatának további részleteit a Bloomberg cikkében lehet olvasni.
Aztán a hét közepén jött hír, ami szerint az FBI legalább részben sikerrel járt a Colonial Pipeline által kifizetett 4,4 millió amerikai dolláros váltságdíj egy részének visszaszerzésére indított akciójában. Hogy ez pontosan hogyan is volt lehetséges a konkrét esetben, azt a Sophos IT biztonsági cég Naked Security blogján foglalták össze.
A JBS élelmiszeripari multi elleni támadásról is sokfelé írtak (én éppen itt), ezzel az incidenssel kapcsolatban szintén az FBI munkatársai nyilatkozták szerdán, hogy információik szerint a támadás hátterében a REvil (más néven Sodinokibi) kiberbűnözői csoport állhat. A REvil-t számos biztonsági kutató orosz hátterű csoportnak tartja, főleg abból kiindulva, hogy orosz célpontokat nem támadnak, így pedig az orosz hatóságok nem üldözik őket.
Szerdán jött a hír, miszert a JBS 11 millió amerikai dollárt kifizetett a támadók által követelt 22,5 millió dolláros váltságdíjból - erről a SecurityAffairs írt.
Közben a JBS vezetői azt nyilatkozták, hogy várható csütörtökre helyreáll(t) az USA-beli üzemeik működése és ismét teljes kapacitással tudnak termelni.
Az ipari szervezetek elleni ransomware-támadások növekvő súlyát mutatja, hogy pár nap alatt két, ransomware-ek elleni módszereket részletező publikációt is elém sodort az RSS olvasóm.
A medium.com cikkében végigveszi a a jellemző ransomware-es támadási formákat, bemutatja a kriptovaluták előnyeit és hátrányait és a NIST ajánlásai alapján bemutatja milyen költséghatékony hardening eljárásokkal lehet védekezni a zsarolóvírus-támadások ellen.
Míg a medium.com cikke általános tanácsokat fogalmaz meg, amit nem csak OT, hanem gyakorlatilag bármelyik IT rendszer esetén is sikerrel lehet alkalmazni, a Dragos ransomware-ek elleni védelemről szóló publikációja kifejezetten az OT környezetekben alkalmazható védelmi intézkedéseket veszi sorra.
