Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na zvýšené riziko ransomwarových útoků vůči České republice. NÚKIB v posledních týdnech eviduje v českém kyberprostoru zvýšenou aktivitu kyberzločineckých skupin, které při svých útocích využívají tuto techniku.

Jedním z častých vektorů útoku, skrze který útočníci získávají přístup do sítí obětí, je zneužívání zranitelností. O některých z nich již NÚKIB v minulosti informoval. S ohledem na současné ransomwarové hrozby odborníci identifikovali sadu zranitelností, jejichž opravu považují za klíčovou:

CVE-2018-13379 (FortiOS)
CVE-2020-12812 (FortiOS)
CVE-2023-27997 (FortiOS)
CVE-2022-41080 (MS Exchange)
CVE-2022-41082 (MS Exchange)
CVE-2023-34362 (MOVEit)
CVE-2023-35036 (MOVEit)
CVE-2023-35708 (MOVEit)
CVE-2023-27988 (Zyxel)
CVE-2023-28771 (Zyxel)

Úspěšný průnik do systémů využívající zmíněné zranitelnosti jako vektor útoku může mít za následek krádež dat ze systémů oběti, jejich zašifrování a následné vydírání jak za účelem dešifrování dat, tak jejich zveřejněním ze strany útočníka. Doporučujeme ověřit, zda zranitelné aplikace nevyužíváte a pokud ano, aktualizovat je na nejnovější verzi. Výše uvedený výčet aktuálně zneužívaných zranitelností není konečný, a proto doporučujeme průběžně aktualizovat operační systémy, programy a aplikace a udržovat je na nejaktuálnější verzi.

Zároveň doporučujeme věnovat pozornost také dalším často užívaným vektorům útoku, jako je phishing, kompromitace účtů (doménových/lokálních/VPN), nezabezpečených služeb otevřených do internetu (např. RDP, FTP, SMB…) či kompromitace skrze poskytovatele služeb.

Vedle opravení kritických zranitelností a posílení infrastruktury též doporučujeme nastavení detekčních pravidel na základě dostupných indikátorů kompromitace (IoCs). Subjekty a orgány povinné dle zák. č. 181/2014 Sb., zákon o kybernetické bezpečnosti, mohou využívat sady IoCs sdílené ze strany NÚKIB prostřednictvím platformy Neweb.

Kromě výše uvedeného doporučujeme dodržovat základní bezpečnostní opatření k zabezpečení sítě před ransomwarem:

Vytvářet bezpečné zálohy, uchovávat je mimo infrastrukturu a pravidelně testovat jejich použití.
Zablokovat služby otevřené do veřejné sítě, vyjma těch nejnutnějších a ty dostatečně zabezpečit.
Omezit přístup k administrátorským účtům.
Nastavit skrze bezpečnostní politiky povinnost používat silná a bezpečná hesla.
Segmentovat síť vaší organizace dle bezpečnostních možností a potřeb.
Ukládat síťové logy na nezávislém serveru mimo podnikovou síť.
Zvyšovat povědomí uživatelů o hrozbě ransomware a jeho vektorech.

Detailní přehled jednotlivých opatření a doporučení naleznete v nově aktualizovaném dokumentu RANSOMWARE: DOPORUČENÍ PRO MITIGACI, PREVENCI A REAKCI.

TZ