Нещодавно кіберполіція спільно з іноземними колегами знешкодила транснаціональне хакерське угруповання.
Операцію зі знешкодження угруповання провели департамент кіберполіції спільно з колегами з Європолу, Євроюсту, із залученням правоохоронців Франції, Чехії, Німеччини, Італії, Латвії, Нідерландів, Іспанії, Швеції, Японії та Канади.
Починаючи з 2020 року, зловмисники атакували вірусом-вимагачем 168 міжнародних компаній у країнах Європи та Америки. Фігуранти заражали сервери шкідливим програмним забезпеченням та викрадали з них інформацію, а дані на комп’ютерах жертв зашифрували та зробили непридатними для використання. Для відновлення доступу вимагали від 5 до 70 мільйонів доларів у криптовалюті.
Українські правоохоронці провели масові обшуки на території Києва.
Наразі французькі компетентні органи розслідують кримінальне провадження за фактами, вчиненими в складі організованого кримінального угруповання, які передбачені поряд із статтею Кримінального кодексу Франції.
Схожий випадок стався і з одним з черкаських підприємств. Зловмисники отримали доступ до їхніх серверів шляхом злому паролю до віддаленого робочого столу та зашифрували два сервери з інформацією про діяльність.
Тому кіберполіцейські дають черкащанам рекомендації, аби уберегтися від подібних зловмисників:
- Для захисту RDP надайте можливість доступу лише з внутрішніх IP-адрес, які надходять із VPN-сервера компанії. Перевагою такого налаштування є можливість не відкривати порти з'єднань RDP для загальнодоступного Інтернету.
Якщо все ж таки є потреба у відкритті портів, для захисту RDP та запобігання атакам на вашу мережу шкідливих програм виду "черв’як" можна обслуговувати протокол віддаленого робочого столу на нестандартному порті. Варто зазначити, що більшість мережевих сканерів перевіряють всі порти на наявність RDP-активності, однак це не забезпечує додаткову безпеку від витончених методів зловмисників. Також слід ретельно переглядати у ваших журналах сервера RDP активності щодо отримання доступу до мережі та входу. Оскільки це може допомогти виявити факт несанкціонованого проникнення в мережу зловмисників.
- Увімкніть багатофакторну аутентифікацію (MFA) для віддалених користувачів як ще один рівень захисту RDP. Таким чином під час доступу на додаток до ім'я користувача та пароля персоналу потрібно буде ввести ще й одноразовий пароль, надісланий через SMS або згенерований через спеціальний додаток, або ж використати свої біометричні дані. Навіть якщо зловмисник викраде пароль, наявність рішення для двофакторної аутентифікації дозволить запобігти несанкціонованому доступу до конфіденційної інформації.
- У разі можливості дозволяйте лише вхідні з'єднання RDP із загальнодоступних IP-адрес користувачів. Свою загальнодоступну IP-адресу співробітники можуть знайти в пошуковій системі Google, ввівши запит «моя IP-адреса». Цю інформацію персоналу потрібно надати IT-відділу, щоб організація змогла створити список дозволених IP-адрес. Також для захисту RDP можна створити «білий» список допустимих IP-адрес, дозволивши їх підмережу, оскільки динамічні домашні IP-адреси, як правило, все ще потрапляють у підмережу після перезавантаження роутера або обслуговування мережі на стороні клієнта.
Усі найцікавіші новини Черкас та регіону можна отримувати на нашому каналі в Telegram