Зафиксирована новая хакерская рассылка группировки BO Team на российские компании

Центр кибербезопасности УЦСБ зафиксировал новую волну хакерских атак на российские компании.

Злоумышленники APT-группировки BO Team рассылают письма с угрозами и требованиями перевода денежных средств в биткоинах. Преступники сообщают, что ИТ-инфраструктура компании подверглась атаке и если не заплатить выкуп, то бизнесу будет нанесен значительный ущерб — вплоть до полной потери данных и вывода систем из строя.

Эксперты УЦСБ не рекомендуют вступать в переговоры и платить выкуп, так как злоумышленники часто не выполняют обещания и даже после оплаты шифруют инфраструктуру или публикуют украденные данные. Кроме того, каждый перевод группировкам — это поддержка киберпреступности.

Специалисты Центра кибербезопасности УЦСБ подготовили чек-лист на случай подозрения компрометации ИТ-инфраструктуры компании.

1. Установить антивирусное ПО, отличное от штатного Windows Defender, и обновить на нем антивирусные базы.
2. Провести принудительную проверку всех узлов сети антивирусным ПО от разных разработчиков.
3. Вывести из домена серверы управления антивируса.
4. Провести ревизию и аудит учетных записей на всех серверах, рабочих местах, контроллере домена и сетевых устройствах. Удалить неиспользуемые.
5. Убедиться в надежности парольной политики: длина паролей пользователей не менее 12 символов, администраторов — не менее 16 символов. Символы из 4 групп: строчные, прописные буквы, цифры и спецсимволы.
6. Проанализировать сетевые соединения изнутри наружу на предмет подозрительных и проверить по базам компрометации. Заблокировать подозрительные.
7. Проверить, что критические ИС скопированы на отчуждаемое хранилище и убедиться, что есть копии за разные периоды времени. Это позволит вернуться к более ранней версии, если заражены самые новые резервные копии.
8. Провести ревизию установленного ПО, особенно на серверах.
9. Провести ревизию учетных записей управления гипервизорами и сетевым оборудованием.
10. Вынести интерфейсы управления гипервизорами, состоянием серверов (например, iPMI), сетевым оборудованием в отдельные подсети. Ограничить доступ к сетевому оборудованию с помощью VLAN и ACL.
11. Доступ к интерфейсам управления предоставить только с рабочих мест администраторов, которым он нужен для выполнения своих обязанностей.
12. Рабочие места администраторов проверить на предмет наличия закрепления (ключи реестра Run, RunOnce, отложенные задачи, подозрительные сервисы и дочерние процессы оболочки) либо переустановить на них ОС.
13. Убедиться, что серверы резервного копирования выведены из домена и вынесены в отдельную подсеть. Ограничить доступ к ним с помощью VLAN и ACL на сетевом оборудовании.
14. При наличии сервисных учетных записей (SPN) с привилегиями администратора домена — отключить или понизить уровень привелегий.
15. Установить пароли на отключение и удаление антивирусного ПО.