Filtra o e-mail de seus funcionários? Verificar emails recebidos por malware, ataques de phishing ou scripts embutidos em HTML?Colocar em quarentena mensagens e anexos suspeitos antes de chegarem aos seus usuários? Se você é uma empresa no Oriente Médio que acabou de encontrar unidades de disco rígido de trabalho apagado e inutilizável, as probabilidades são muito boas as respostas a essas perguntas é “não”, e é por isso que estamos falando sobre isso, como um ataque direcionado e altamente destrutivo Em novembro combinou alguns malwares mais antigos com algumas credenciais roubadas para devastar máquinas.

W32.Disttrack.B é uma variante de malware que já foi visto na natureza já em 2012. Este malware faz uma coisa muito bem … ele rastreia a rede de qualquer máquina que infecta, espalhando para outras máquinas, e quando está pronto , Limpa dados. O worm vem em variedades de 32 e 64 bits para que qualquer máquina Windows infectada possa espalhar o worm para qualquer outra máquina Windows, independentemente da arquitetura. Ele se espalha para compartilhamentos de rede acessíveis e, em seguida, na máquina infectada se configura como um serviço, coloca uma entrada em tarefas agendadas, sobrescreve o MBR, sobrescreve dados em locais comuns e finalmente telefona para casa por HTTP para registrar outra vítima.

Pesquisas publicadas pela Symantec em 2017-01-23 parecem indicar que o malware fez um retorno no ataque direcionado contra suas organizações vítimas em todo o Oriente Médio. De acordo com o relatório, um grupo de hackers conhecido como Greenbug tem sido alvo de organizações e governos com um duplo ataque. O primeiro usou um RAT chamado Trojan.Ismdoor para roubar credenciais administrativas de várias organizações. Essas credenciais foram usadas para configurar o malware W32.Disttrack.B para se espalhar pelos sistemas das organizações infectadas, cronometrado para executar a substituição de dados e apagamento de MBRs após o início do fim de semana. O timing foi sem dúvida definido para ajudar os ataques a correrem o maior tempo possível sem detecção.

Há algumas lições de objeto a ser aprendido com este ataque. Embora os métodos sejam novos, o malware usado não é detectado e bloqueado por vários produtos antimalware desde que foi lançado em 2012. Por que o malware foi capaz de se espalhar? Bem, é devido a anti-malware desatualizado ou desativado em sistemas, ou pior, sistemas desprotegidos correndo sem qualquer solução antimalware no lugar. Como as credenciais foram roubadas? É sabido que em pelo menos um caso, o Trojan.Ismdoor foi usado, mas como é que entrar? Os ataques de phishing parecem ser o caminho mais provável. E como as credenciais roubadas provaram ser tão devastadoras? Se as credenciais administrativas podem ser usadas em uma máquina onde o malware está sendo executado, elas podem ser comprometidas. Então, o que é uma organização a fazer para se proteger?

Antimalware em todas as máquinas

Instale o software antimalware em todas as máquinas (sim, até Macs) e assegure-se de que ele esteja em execução em tempo integral e mantido atualizado. Se o antimalware estiver abrindo uma máquina, não basta desligá-lo. Trabalhar para garantir as exceções adequadas, documentadas pelo fabricante, estão no lugar para garantir que você não tem que sacrificar a proteção para o desempenho.

Higiene da mensagem digitalizar todos os emails

Digitalize tudo o que entra e sai do seu sistema de mensagens. Use a filtragem de e-mail forte como o que é encontrado no GFI MailEssentials para bloquear spam e phishing e para verificar todos os e-mails e anexos de malware. Com tantos ataques começando com credenciais roubadas, a maioria dos quais são obtidos por ataques de phishing, fazer tudo o que puder para tornar o email seguro é um passo vital na proteção de sua rede e de seus clientes.

Filtragem da Web protegendo todo o acesso à Internet

Filtrar todo o acesso à Internet possível através de uma solução de filtragem web. Mesmo que você não queira impor uma Política de Uso Aceitável, você ainda pode proteger seus usuários e sistemas contra ameaças da Internet, filtrando o acesso.

Aperte contas administrativas

Se você tem o mesmo nome de usuário local e senha para a conta de administrador em todas as suas estações de trabalho, ou você tem uma conta de domínio que pode acessar todas essas estações de trabalho, uma vez que esses creds são comprometidos é sobre o jogo.Pior, o que acontece quando é creds de administrador de domínio? Agora Active Directory, Exchange, servidores e seus dados, estações de trabalho e pior estão em risco eo atacante tem a chave mestra para o reino. Dê uma olhada no Gerenciamento de Acesso Privilegiado e veja se isso é certo para você. Demais? Em seguida, pelo menos certifique-se de que seus administradores não estão acessando as estações de trabalho ou a Internet com seus creds de domínio e estão usando a autenticação multi-fator sempre que possível para reduzir o escopo de dano de credenciais roubadas.

Backups

Se o pior ocorrer, ter backups offline / offsite a partir do qual para restaurar dados críticos é fundamental para garantir que você pode voltar ao negócio o mais rapidamente possível.Fazer backups regulares e testá-los para ter certeza que você pode recuperar, se necessário.

Agora, mais do que nunca, a defesa em profundidade é vital. A combinação de phishing com destruição direcionada de dados pode ser devastadora para qualquer organização, especialmente quando as credenciais comprometidas têm acesso administrativo amplo.Proteja suas máquinas, limita o escopo administrativo onde quer que você puder, filtre a Internet e o e-mail e tenha certeza de ter backups. Você vai reduzir muito o seu risco, e ajudar a garantir que você pode recuperar.

Anúncios