Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
259

Продолжение поста «Небольшое обращение для администраторов сайта»

В последний месяц наблюдается массовая активация шифровальщиков. Но это не вирусы, это в основном сознательный взлом. И вот там наблюдается очень страшная тенденция.


У меня сейчас было для анализа 4 конторы. Все обратились с "зашифрованными нафиг данными". Где-то это варианты типа Loki, где-то тупо BitLocker. Но странно даже не это. В случае с Loki, атака была через опубликованный в сети комп, где существовал администратор с именем user и паролем user. Локальный, но это уже дало ему право получить доступ к RDP, а дальше можно запускать все, пусть еще на пользовательском компе. Во втором случае все намного интересней, был активирован, непонятным способом, интересный аккаунт DefaultAccount, на сервере Exchange, он смог сменить пароль одной из технических учеток с правами доменного администратора (винда русская, "Администратор" они просто набирать не захотели), и дальше уже шифровали BitLocker от его имени. Третий вариант - пробили пользователя .DOTNET, так же как и в предыдущем случае сумев его активировать, дать ему права админа и удаленный рабочий стол.

Выводы пока самые неутешительные. Атаки идут целенаправленно, в основном в выходные. Ломают быстро и качественно. И очень часто используются либо откровенные дыры в безопасности (первый случай), либо технические учетки, и если первое понятно, то второе вызывает вопросы.

Рекомендации? Убирайте публикацию RDP, только после VPN. Отключайте на фиг локальные учетки в случае работы в доменах. Чистите списки администраторов. Отключайте лишних. Закручивайте гайки по максимуму. Пока так.

[моё] Интернет Сети Политика Санкции DDoS Linux Сетевое оборудование Маразм Ответ на пост Текст Windows Взлом Шифровальщик Вирус
47
Все комментарии Автора
12
DELETED
Автор поста оценил этот комментарий

Всегда считал открытй  в wan рдп безумием

раскрыть ветку (1)
6
Аватар пользователя Lost.HedgehogLost.Hedgehog
Автор поста оценил этот комментарий

Самое интересное, это активная учетка DefaultAccount, при чем активирована она была раньше чем сломали Domain Admins, как - вопрос отдельный. Но учетка получила права локального администратора и RDP. Судя по всему сломан был еще и Mikrotik, роутер, пароли к нему сейчас не подходят.

0
abbyymko
Автор поста оценил этот комментарий
Здравствуйте! Я сидела в интернете и тут внезапно лаптоп отключился, и вылезло окно "введите ключ восстановления битлокера", разумеется я его не запускала, и в учётки Виндоус нет этого ключа. Вопрос, есть ли хоть какая-то призрачная Надежда что можно восстановить хотя бы маленькую часть данных, или диск навсегда потерян? Я обычный ламер, но там хранятся очень много фоток, которых нет в распечатанном виде. Собственно вопросы: 1.можно ли как-то восстановить эти данные? 2. Можно ли как-то найти этот ключ на самом диске ?
3. Можете ли дать какой-то совет, что делать, куда бежать ?
перелопатили весь интернет, многие столкнулись с такой проблемой после обновления винды, к меня винда обновилась до 11 пару месяцев назад, сама. Я просто сидела и читала статью в хроме в момент инцидента. Сообщений о выкупе не было. Все говорят, единственный вариант форматирование диска. Буду благодарна вам за любую помощь по ситуации.
раскрыть ветку (1)
1
Аватар пользователя Lost.HedgehogLost.Hedgehog
Автор поста оценил этот комментарий

Добрый вечер. В принципе вопрос только один - windows какой был? Если это 8, 10, 11 то есть некий шанс на наличие ключа востановления в https://account.microsoft.com/devices/recoverykey но, вероятность очень маленькая. Проверьте почту, есть огромный шанс, что вам там написали куда заслать деньги за покупку плюча. Засылать деньги не рекомендую, шанс реально получить ключи - минимален. Вы им не интересны. В принципе, все, что вы можете сделать - а по большому счету - забить. Продолжить жить дальше и научится делать резервные копии в "не связанном с основным устройством" месте.

показать ответы
8
DELETED
Автор поста оценил этот комментарий
Закручивайте гайки по максимуму. Пока так.

То что вы описываете - не закрученные гайки, а совершенно элементарные меры.


Закручивание гаек - 2ф авторизация для любого, кто имеет админские права и или удаленный доступ, постоянный автоматический аудит учетных записей на предмет админских прав и прав на подключение по рдп, 12-символьный пароль, требование о смене его раз 3 месяца. Вот это - бюджетный вариант закручивания гаек. При наличии денег можно сделать еще кучу интересностей.


На счет рдп, кстати - можно придумать что-нибудь в стиле "постучись по 10050порту, потом постучись по 50010 порту, потом постучись по 50100 порту, и вот тогда на 54321 порту откроется рдп для конкретно твоего айпишника". Формально, рдп открыт в интернет, но это не менее безопасно, чем вообще само наличие удаленного доступа в любой форме.

раскрыть ветку (1)
0
Аватар пользователя Lost.HedgehogLost.Hedgehog
Автор поста оценил этот комментарий

То, что я пишу ранее, это даже не закручивание гаек. Локальный админ с именем user и таким же паролем на машине с RDP в интернет, пусть не на стандартном порту, это даже не дыра, это ДЫРИЩА! Про закрученные гайки это вообще. К удалению локальных учеток на доменных компах, контролю за составом групп локальных и доменных администраторов, контролю за сложностью паролей и тому подобное.

Иллюстрация к комментарию