A COVID-19 világjárvány következtében egyre több embernek van szüksége arra, hogy távoli hozzáféréssel léphessen be a céges rendszerekbe. Ezzel azonban nő az esélye annak, hogy illetéktelen betolakodók is landolnak a munkahelyi hálózatokon, és zsarolóvírusok telepítése után komoly galibát okoznak biztonsági szakembereknek vagy az egész vállalatnak. De hogy vehetjük észre, hogy egy rendszer támadás alatt áll?
Ahhoz, hogy az emberek távoli számítógépen keresztül beléphessenek a céges hálózatokra, szükségük van egy Remote Desktop Protocol (RDP) linkre. Viszont, ha ez rossz kezekbe kerül, mondjuk egy biztonsági rés következtében, akkor illetéktelen személyek előtt is megnyílhat az út az értékes céges rendszerek felé, és könnyen zárolhatják azokat. Mivel azonban ezek a hollywoodi filmekkel ellentétben nem egy pillanat alatt történnek, hanem sokszor hetek vagy épp hónapok alatt, így lehet időnk észrevenni és orvosolni a problémákat.
Először is mindenképp érdemes átvizsgálni az internet felé nyitott rendszereket, hogy találhatóak-e rajtuk nyitott RDP portok. Ezek veszélyesek lehetnek, tehát minden esetben kétlépcsős bejelentkezést kell beállítani az ilyen linkeken keresztül, vagy egy VPN szolgáltatás védelme mögé érdemes rejteni őket.
Az is gyanús jel lehet, ha elkezdenek ismeretlen vagy kéretlen szoftverek megjelenni a gépünkön. Ezek arról is árulkodhatnak, hogy mennyire tart előrehaladott fázisban a támadás. Kezdetben a hackerek sokszor csak egy gépet használnak, és ezen keresztül tapogatják le, hogy milyen támadási felületeket nyújtanak a rendszerek. Az ehhez szükséges programok, például az AngryIP vagy az Advanced Port Scanner feltűnése a gépünkön árulkodó jel lehet, mellyel érdemes megkeresni a biztonsági szakembert a cégnél.
A MimiKatz vagy a Microsoft Process Explorer feltűnése is gyanúra adhat okot, ugyanis ezekkel sokszor a különböző rendszerekbe való bejelentkezéshez szükséges adatokat, felhasználóneveket és jelszavakat gyűjtik be a hackerek. Miután ezekre bejutottak, az Active Directoryn keresztül rendszergazdai jogosultságot szereznek maguknak, amire azért van szükség, hogy a Process Hacker, a IOBit Uninstaller, a GMER, a PC Hunter vagy egyéb hasonló program segítségével képesek legyenek kiiktatni a biztonsági szoftvereket.
Ha azt vesszük észre, hogy elérhetetlenné váltak a domain kontrollerek vagy az Active Directory, esetleg valaki megpróbálta törölni a biztonsági mentéseket, vagy azokat a rendszereket, melyek a szoftverek frissítéseiért felelnek, akkor a zsarolóvírus élesítése már a véghajrában van, és nincs sok idő cselekedni. Előfordul, hogy a hackerek először csak néhány gépet zárolnak, hogy kipróbálják, működik-e a tervük, ezután azonban már a teljes hálózat titkosítása jön, amit csak követeléseik teljesítése után oldanak fel.
A leghatékonyabb védekezés az ilyen esetek ellen, általában a megelőzés. A céges szoftverekhez mindig telepítsük a legújabb frissítést, ugyanis azok rengeteg biztonsági problémát kiküszöbölhetnek. Emellett ahol csak lehet, használjunk kétlépcsős bejelentkezést, és erős jelszavakat.
#oszdazészt
Az internetes veszélyek, egyre növekvő számú fenyegetés miatt egyébként nemrég elindult az #oszdazészt mozgalom, amelynek keretében olyan, közérthető cikkeket és videókat teszünk közzé a PC World, a GameStar és a Computerworld oldalain, amikben szakértők és közismert személyek magyarázzák el, hogyan kerülhető el legegyszerűbben a baj.
Olvasóink azzal segíthetnek a mozgalom céljainak elérésében, hogy megosztják a kapcsolódó cikkeket azokkal, akik még kevéssé jártasak az interneten. A mozgalomról bővebben az #oszdazészt beharangozó cikkében lehet olvasni.
