Tình trạng tấn công Ransomware vào tầng Networks
Một công ty lớn như Honda cũng có thể trở thành nạn nhân của Ransomware, một dạng tấn công mã hóa dữ liệu được nhắm mục tiêu (tấn công có chủ đích). Tấn công Ransomware có thể làm tê liệt toàn bộ hệ thống Windows Networks của bạn.
Thông tin mới nhất từ các tổ chức an ninh mạng cho hay: dịch vụ Khách Hàng và dịch vụ Tài Chính của hãng Honda đã bị tấn công bởi ransomware. Tổ chức an ninh mạng của Kaspersky đã tìm thấy các mẫu trong cơ sở dữ liệu VirusTotal, cho thấy công ty Honda đã bị nhắm mục tiêu bởi Snake ransomware.
Sự cố Ransomware này khiến nhiều doanh nghiệp phải cảnh tỉnh từ bài học của Honda và bảo vệ tốt hơn hệ thống Windows Networks của mình.
Kaspersky cho biết phần mềm độc hại Ransomware được khởi chạy bằng tập tin có tên là “nmon.bat”. Đây là dạng file thường được sử dụng trong hệ thống Network nói chung, và chúng được phép hoạt động. Vì thế các chuyên gia an ninh mạng cũng khó lòng phát hiện ra sự bất thường này.
Hacker tiếp tục khởi động một tập tin có tên gọi là “KB3020369.exe” để thực hiện phi vụ tấn công này. Đây là một cách đặt tên file có chủ ý, nhằm tránh sự nghi ngờ của các chuyên gia an ninh mạng, vì Microsoft knowledridease vừa tung ra bản vá cho Windows 7 với tên gọi là “Windows6.1-KB3020369-x64.msu”.
Snake ransomware sẽ vô hiệu hóa các Volume Shadow Copies trong hệ thống Network và sau đó phá hủy các quy trình liên quan đến máy ảo (VPS), hệ thống điều khiển, công cụ quản lý từ xa và phần mềm quản lý mạng. Trình tự tấn công được tạo dựng để xử lý các domain bên trong của công ty Honda.
Những kẻ tấn công đến sau, dạng ngư ông đắc lợi sẽ ẩn náu trong các tầng Network cho đến khi chúng tìm thấy cơ hội và sẵn sàng để tấn công, có thể là chỉ vài tháng sau đó.
Bài học lớn rút ra từ cuộc tấn công ransomware vào công ty Honda sẽ giúp các doanh nghiệp cảnh tỉnh và trang bị giải pháp bảo mật hệ thống Windows Network được tốt hơn:
Hãy cảnh giác với các tool, tập lệnh và cài đặt chính sách black list
Bạn có thể kiểm tra các hoạt động trái phép trong nhật ký sự kiện. Thực hiện theo các bước sau để xem xét nhật ký sự kiện trong Windows Network gốc:
-
Chạy eventvwr.msc.
-
Truy cập nhật ký Windows Windows.
-
Nhấp chuột phải vào Nhật ký bảo mật và vào các thuộc tính của 19.
-
Kích hoạt tính năng ghi nhật ký được tick chọn.
-
Tăng kích thước nhật ký lên ít nhất 1 GB.
-
Tìm ID sự kiện 4698 để tìm tác vụ theo lịch trình mới nhất.
Ngoài ra, bạn cũng có thể thiết lập tác vụ PowerShell để gửi thông báo email khi có các tác vụ mới được tạo và chạy.
Xác định nhân viên có nguy cơ bị tấn công lừa đảo nhắm mục tiêu cao nhất
Một email giả mạo chuyên nghiệp có thể đánh lừa được cả quản trị viên tên miền, từ đó có thể giúp cho hacker có cơ hội xâm nhập vào hệ thống Network của doanh nghiệp. Đặc biệt là khi nhân viên phải sử dụng mạng riêng để làm việc ở bên ngoài công ty. Kiểm tra license và các tool mà doanh nghiệp cung cấp cho nhân viên nắm quyền quản trị Network.
Xem lại các thư mục domain và các chính sách chống Ransomware
Tấn công thường được khởi chạy từ chính các vị trí mà quản trị viên sử dụng để quản lý hệ thống Network. Hãy dành thời gian để xác thực truy cập và các tệp bạn lưu trữ và vị trí tập lệnh. Kiểm tra kỹ với bất kỳ tập tin mới được thêm vào thư mục được sử dụng cho quản trị. Xem lại các quyền thích hợp trên các thư mục để đảm bảo chỉ những người dùng được ủy quyền mới có thể thêm hoặc điều chỉnh các tập lệnh quản lý này.
Sử dụng xác thực đa yếu tố cho các tài khoản đặc quyền
Quan trọng nhất, đảm bảo rằng quản trị viên Domain được xác thực đa yếu tố (MFA) được bật bất cứ khi nào cần truy cập từ xa. Xem lại những tài khoản nào được sử dụng trong hệ thống Network của bạn và nơi bạn sử dụng chúng.
Xem lại các kế hoạch sao lưu backup dữ liệu
Chuẩn bị một bản sao lưu hoàn hảo để phòng hờ trong các trường hợp bị tấn công Ransomware mã hóa dữ liệu, bạn có thể phục hồi dữ liệu nhanh chóng mà không phải trả tiền chuộc cho các Hacker. Tạo các bản sao lưu tự động thường xuyên và đảm bảo chúng được bảo vệ tốt.
Tài khoản người dùng thực hiện quá trình back up dữ liệu đặc biệt phải khác với tài khoản người dùng đăng nhập hệ thống Network. Cuối cùng, hãy thực hiện quy trình sao lưu offline để ngăn chặn hacker tấn công xóa các tệp sao lưu online.
Bạn cần hỗ trợ sử dụng Cloud chuyên nghiệp, hạ tầng không giới hạn, bảo mật cao cấp, liên hệ ngay VNETWORK để trải nghiệm.——-
????????
Website: https://vnetwork.vn
Email: contact@vnetwork.vn
Hotline: (028) 7306 8789