Cisco Talos odkazuje výrobným firmám: Dbajte na svoju kyberbezpečnosť.
Cisco Talos odkazuje výrobným firmám: Dbajte na svoju kyberbezpečnosť.
Nórsky výrobca hliníku Norsk Hydro sa stal terčom ransomvérového útoku LockerGoga. Ten sa našťastie rozšíril „len“ do firemnej infraštruktúry a nedostal sa do výroby, ktorej sieť je oddelená. Konkrétny spôsob, ktorým sa útočníci dostali do siete, ešte nieje známy, faktom ale je, že sa im podarilo získať prístupové údaje a heslá do siete a zašifrovať kritické dáta, ktoré sa pre spoločnosť stali nepoužiteľnými.
Malvér po infikovaní dokázal meniť heslá užívateľov na “Huhuhuhoho283283@dJD”, čím po reštarte znemožnil prihlásenie lokálnym či vzdialeným užívateľom. Na počítačoch a serveroch vedel odpojiť sieťové rozhrania, čím izoloval napadnutý systém a jeho obnovenie sa tak stalo zdĺhavou a manuálnou činnosťou.
Potom zašifroval dáta príponou *.LOCKED a zaujímavosťou je, že okrem dôležitých dát, šifruje aj napríklad Kôš vo Windows, prípadne sa snaží vymazať Event log vo Windows:
Čítaj ma.txt
Následne vytvorí ransomvér súbor README_LOCKED.txt s informáciami o zašifrovaní dát a s informáciami ako útočníkov kontaktovať:
Zaujímavosťou je, že útočník neposiela priamo „platobné podmienky“, ani odkaz na Bitcoin peňaženku pre zaplatenie výkupného. Zároveň tento malvér nemá C2C (command and control) štruktúru, ktorou by útočníci mali spojenie s napadnutou infraštrukútúrou. Autori malvéru taktiež ponúkajú obeti službu dešifrovania malého množstva súborov, aby dokázali svoju legitimitu a zároveň tak zvýšili svoju šancu na zaplatenie výkupného.
- Spoločnosť Norsk Hydro útočníkom nezaplatila, ale v prvom týždni po infikovaní, ju náprava škôd na IT infraštruktúre stála približne 40 miliónov dolárov.
- Výrobný priemysel je jedným z preferovaných cieľov kybernetických zločincov.
- 86% kybernetických útokov je konkrétne cielených.
- V 66% prípadoch ide o hacking, v 34% ide o infikovanie malvérom.
- Útoky sú motivované krádežmi duševného vlastníctva za účelom získania konkurenčnej výhody.
Krátko po objavení malvéru LockerGoga, sa tento stal súčasťou Cisco security produktov, ktoré Vás dokážu ochrániť od podobných útokov:
Threat Grid = pomáha identifikovať vírusy a buduje komplexnú cisco security ochranu
Čo by vás ochránilo?
Prehľad Cisco Nástrojov ktoré by vás ochránili pred útokmi.
- Advanced Malware Protection (AMP) = prevencia spustenia vírusu
- Cisco Cloud Web Security (CWS) + Web Security Appliance (WSA) =webové skenovanie detekuje malware na webstránkach
- Email Security =blokuje emaily s vírusmi
- Network Security nástorje Next-Generation Firewall (NGFW), Next-Generation Intrusion Prevention System (NGIPS), a Meraki MX =deketuje malware naprieč sieťovou infrašktruktúrou
- Threat Grid = pomáha identifikovať virúrsy a buduje komplexnú cisco security ochranu
- Umbrella =blokuje IP adresy a URL adresy ktoré maju nebezpečný obsah
SKÚSTE SI DEMO na ochranu:
*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.