Zapraszamy do udziału w webinarze pt. „Lepszy NAS czy chmura? Przekonaj się sam!”

Podczas webinaru zostaną poruszone następujące zagadnienia:

• Skąd się wzięła firma QNAP?
• Czym jest nowoczesny serwer NAS?
• Kto powinien korzystać z rozwiązań NAS?
• Jakie problemy rozwiązuje serwer NAS?
• Portfolio ogólnie
• System operacyjny firmy QNAP – dlaczego oprogramowanie robi różnicę?
• Zalety rozwiązań NAS w codziennej eksploatacji
• Przykładowe zastosowania
• Opis zasady działania kluczowych technologii
• Porównanie do konkurencji
• Porównanie do chmury

Webinar odbędzie się w poniedziałek 8 czerwca o godzinie 10:00. REJESTRACJA

Producent serwera poczty IceWarp opublikował na swoich stronach internetowych nową wersję serwera poczty, oznaczoną 12.3.0.2.

W wydaniu tym skupiono się na naprawie błędów, nie wprowadza ono nowych funkcjonalności.

* WebClient – naprawiono błąd, w którym użytkownicy nie mogli się zalogować używając najnowszych wersji przeglądarek Chrome (83), Edge (83) oraz Safari (13.1);
* WebClient – naprawiono błąd występujący podczas dodawania grafiki do podpisu użytkownika;
* WebClient – kalendarz w pokojach TeamChatu jest już wyświetlany poprawnie;
* WebClient – naprawiono problemy z wyświetlaniem niektórych wiadomości e-mail (problem z otwieraniem zewnętrznych hiperłączy, nieprawidłowy wygląd wiadomości;
* WebClient – usprawniono import plików CSV do kalendarza;
* WebClient – naprawiono błędy występujące podczas dołączania gości do pokoju TeamChata;
* WebClient – naprawiono błąd występujący podczas otwierania pliku PDF dołączonego do wiadomości e-mail podczas wysyłąnia jej z Outlooka (format winmail.dat);
* WebClient – naprawiono błąd polegający na losowym przydzielaniu kolorów wydarzeniom z publicznych i współdzielonych kalendarzy;
* Server – usprawnienia silnika YODA przeszukującego wiadomości;
* Server – naprawiono błędy występujące podczas wykorzystywania komendy SEARCH w protokole IMAP;
* Server – niektóre pola tekstowe w listach mailingowych nie są już ograniczone do pięciu znaków;
* Server – naprawiono błąd w którym edytowanie niektórych dokumentów było możliwe pomimo wyłączenia tej opcji w ustawieniach;
*WebAdmin – naprawiono błąd w sortowaniu aliasów e-mail mógł doprowadzić do zmiany głównego aliasu poczty.

Po więcej informacji na temat serwera IceWarp zapraszamy na stronę IceWarp

Podczas najbliższego webinarium w języku polskim, które odbędzie się o godz. 10:00 w środę 3 czerwca 2020 r., producent oprogramowania, firma SOPHOS, bazując na niezależnej ankiecie przeprowadzonej wśród 5000 menedżerów IT w 26 krajach, ujawni rzeczywistość kryjącą się za nagłówkami gazet na temat ataków ransomware.

 Zapraszamy na webinarium, w którym ekspert SOPHOS przedstawi:

• Ile organizacji w Polsce zostało dotkniętych atakami ransomware w zeszłym roku;
• Które branże ucierpiały najbardziej z powodu tych ataków;
• Ile organizacji zapłaciło okup, aby odzyskać swoje dane, a ile korzystało z kopii zapasowych;
• Co jest kluczowym problemem co piątej firmy w zapewnieniu cyberbezpieczeństwa;
• Wskazówki techniczne oraz w jaki sposób SOPHOS może pomóc w zapobieganiu cyberatakom.

Webinarium odbędzie się w środę 3 czerwca 2020 r. o godzinie 10:00. ZAREJESTRUJ SIĘ na to wydarzenie: https://register.gotowebinar.com/register/5843026198763215630?source=98304-26266

Zachęcamy do udziału!

W dniu dzisiejszym producent serwera pocztowego IceWarp zidentyfikował problem z logowaniem się do przeglądarkowego interfejsu serwera IceWarp z wykorzystaniem przeglądarek Google Chrome oraz Microsoft Edge w wersji 83.

Pomimo podania prawidłowej nazwy użytkownika i hasła użytkownik nie jest w stanie zalogować się na swoje konto. Problem wynika ze zmian w silnikach przeglądarek wprowadzonych w najnowszej wersji.

Błąd zostanie naprawiony w najbliższym wydaniu serwera, oznaczonym 12.3.0.2, który ukaże się najprawdopodobniej pod koniec tego tygodnia.

Posiadacze wersji instalowanej na własnym serwerze mogą zastosować rozwiązanie problemu przedstawione przez producenta pod adresem: https://support.icewarp.com/hc/en-us/articles/360008877557-WebClient-login-issue-with-Microsoft-Edge-Google-Chromium-v-83 posiadacze wersji w chmurze proszeni są o kontakt ze wsparciem technicznym producenta.

Pragniemy poinformować, że firma IceWarp uzyskała certyfikacje ISO 9001 oraz ISO 27001 w zakresie sprzedaży usług poczty elektronicznej w chmurze oraz instalowanej lokalnie, a także rozwoju oprogramowania.

Zapraszamy do zapoznania się z serwerem poczty IceWarp, w ramach którego producent oferuje również pakiet do obsługi programów biurowych, wideokonferencje, czat prywatny i grupowy oraz wiele innych udogodnień.

Przeprowadzone na zlecenie firmy Sophos badanie wykazało, że ataki typu ransomware wciąż są groźne. Zapłacenie cyberprzestępcom okupu w celu odzyskania zaszyfrowanych danych nie rozwiązuje problemu. Co więcej, średnie koszty związane z naprawieniem szkód mogą wzrosnąć średnio z 730 tys. do nawet 1,4 mln dolarów. W Polsce jedynie 44% firm posiada ubezpieczenie, które pokrywa ewentualne straty spowodowane złośliwym oprogramowaniem tego typu.

Ransomware wciąż „na fali”

W ciągu ostatniego roku 51% firm na świecie doświadczyło ataku ransomware. W 2017 roku, w którym liczba tego typu zagrożeń gwałtownie rosła, takich firm było 54%. W Polsce odsetek ten jest poniżej globalnej średniej i wynosi 28%. W zdecydowanej większości przypadków ataki te kończą się sukcesem – jak wynika z badania, aż trzy na cztery próby, które skutecznie naruszą system ochronny przedsiębiorstwa, kończą się zaszyfrowaniem danych.

– Wiele firm czuje presję na zapłacenie okupu, aby szybko odzyskać dane i ograniczyć przestoje. Jednak według naszych badań taka decyzja nie wpływa znacząco na powrót do działalności, zarówno pod względem kosztów, jak i czasu. Często potrzeba uzyskania kilku kluczy, aby odszyfrować zablokowane przez przestępców informacje, a sam proces jest skomplikowany i czasochłonny. Większość firm nie ulega jednak presji, na zapłacenie decyduje się mniej niż jedna trzecia – wskazuje Mariusz Rzepka, menadżer odpowiedzialny za region Europy Wschodniej w firmie Sophos.

Co ciekawe, wbrew powszechnemu przekonaniu placówki sektora publicznego zarejestrowały mniej ataków niż w sektorze prywatnym. Spośród wszystkich przebadanych branż zagrożenia typu ransomware najrzadziej doświadczały instytucje publiczne (jedynie 45%), a najczęściej – firmy z branży rozrywkowej, medialnej i rekreacyjnej (60%). Rozbieżność między obiegowym poglądem a rzeczywistą skalą może wynikać z faktu, iż firmy zazwyczaj nie podają informacji o atakach i starają się niwelować ich skutki wewnętrznie, natomiast żądania okupu od szpitali czy urzędów są często nagłaśniane publicznie.

Ubezpieczona mniej niż połowa

Średni koszt usunięcia skutków ataku ransomware, obejmujący przestoje w działalności, utracone zamówienia czy koszty operacyjne, na świecie wynosi ponad 730 tys. dolarów, zaś w Polsce – około 500 tys. zł (w firmach powyżej 100 pracowników). Większość przedsiębiorstw posiada ubezpieczenie od skutków cyberzagrożeń – w Polsce aż 71% z nich. Jednak jedynie w 44% przypadków obejmuje ono koszty ponoszone w związku z ransomware (na świecie to odpowiednio 84% i 64%).

– Badanie potwierdziło, że ransomware nadal stanowi realne ryzyko i każda firma, niezależnie od wielkości, powinna się na taki atak przygotować. Mimo że trwa on krócej niż sekundę, jego skutki mogą być odczuwalne przez kolejne dni i miesiące, a w efekcie doprowadzić firmę do paraliżu lub bankructwa. Dlatego szczególnie istotne jest korzystanie z wielowarstwowych rozwiązań ochronnych, które synchronizują między sobą informacje o potencjalnych zagrożeniach. Pozwolą one na odparcie ataku jeszcze zanim przestępca dostanie się do systemu IT i będzie miał szansę zaszyfrować dane. Zabezpieczenia nowej generacji wykorzystujące SI oraz uczenie maszynowe pomogą zarówno w szybkim wykrywaniu zagrożeń, jak i przywracaniu działania systemu IT – radzi Mariusz Rzepka.

Badanie State of Ransomware 2020 zostało przeprowadzone w styczniu i lutym 2020 r. przez Vanson Bourne, niezależną firmę specjalizującą się w badaniach rynkowych. W ankiecie wzięło udział 5000 decydentów z branży IT w 26 krajach: Stanach Zjednoczonych, Kanadzie, Brazylii, Kolumbii, Meksyku, Francji, Niemczech, Wielkiej Brytanii, Włoszech, Holandii, Belgii, Hiszpanii, Szwecji, Polsce, Czechach, Turcji, Indiach, Nigerii, Republice Południowej Afryki, Australii, Chinach, Japonii, Singapurze, Malezji, Zjednoczonych Emiratach Arabskich oraz na Filipinach. Respondenci pochodzili z firm o wielkości od 100 do 5 tys. pracowników.

Jeśli jesteś zainteresowany ochroną antyransomware od firmy SOPHOS, skontaktuj się z nami - chętnie przybliżymy Ci działanie tego produktu.

W nawiązaniu do dzisiejszej informacji przesłanej przez GFI:

„Szanowni Partnerzy GFI Software,

GFI Software ma zaszczyt przedstawić naszego nowego Dystrybutora w Polsce – Bakotech Sp z.o.o.

Wraz z Bakotech, GFI Software zapewni Twojej firmie wszystkie rozwiązania potrzebne do skutecznego zarządzania i zabezpieczenia środowiska IT Twoich klientów.

Naszym celem na rok 2020 jest wzmocnienie naszych relacji z Partnerami w Polsce, dalszy rozwoju kanału dystrybucji oraz zapewnienie doskonałych usług i wsparcia.

Nasi obecni Dystrybutorzy w Polsce działają bez zmian do 12 lipca 2020 roku.

Dane kontaktowe Bakotech Sp z.o.o (…)”.

Pragniemy Państwa zapewnić, że podobnie jak przez ostatnie 15 lat współpracy dotyczącej produktów Kerio, później GFI, będziemy starali się utrzymać dla Państwa wysoki poziom techniczny i merytoryczny w ramach oferowanych rozwiązań. Sądzę, że dotychczasowa współpraca z firmą Bakotech, podobnie jak w przypadku rozwiązań MailStore, także po 12 lipca 2020 roku, pozwoli nam utrzymać dla Państwa odpowiednio wysoki standard wsparcia w ramach sprzedaży partnerskiej rozwiązań Kerio/GFI. W przypadku dodatkowych pytań i niejasności, zapraszamy do kontaktu z naszym Zespołem. Prezes Zarządu Sun Capital sp. zo.o. Krzysztof Konieczny

0048 71 360 81 00

sprzedaz@suncapital.pl

Firma Cortex producent oprogramowania do tworzenia kopii zapasowych BackupAssist, ogłosiła, że w najbliższych tygodniach na rynek trafi nowy produkt – BackupAssist ER.
W zamyśle jego twórców, będzie to produkt do tworzenia backupu i odzyskiwania danych, który zapewnia cyber-odporność danych i firmy. Oznacza to, że nie tylko chroni twoje pliki i serwery, ale także pomaga twojej firmie odzyskać swoje moce po takich zdarzeniach, jak hakowanie, zainfekowanie systemu oprogramowaniem ransomware lub złośliwymi cyberatakami.

Najważniejsze zmiany jakie niesie ze sobą nowy produkt w postaci BackupAssist ER, to przede wszystkim:

1. własny silnik tworzenia kopii zapasowych, zastępujący Windows Backup
– zarządzanie historią kopii zapasowych nie polegając na Windows
– pełna replikacja kopii zapasowych, poprzez kopiowanie backupu
– podczas tworzenia backupu nie jesteśmy zależni od VSS (VSS jest to technologia Windows, która pozwala na wykonywanie ręcznie lub automatycznie backupu, migawek plików lub woluminów , gdy są one w użyciu.)
2. reverse incremental backup storage
– ostatnia kopia zapasowa jest zawsze pełna
– automatyczne odzyskiwanie, jeśli proces tworzenia kopii zapasowej zostanie przerwany
3. szyfrowanie
– opcjonalne, lokalne szyfrowanie plików VHDX
– szyfrowanie fragmentów danych wysyłanych do chmury
4. Jeden nośnik „Lifeline Recovery” dla wszystkich typów systemów operacyjnych
5. Zarządzanie przez przeglądarkę www

BackupAssist ER bedzie dostępny jako subskrypcja oraz usługa MSP (Managed Service Provider). Producent planuje również zastosowanie podczas logowania uwierzytelniania wielopoziomowego (Multi-factor authentication). Najważniejsze funkcje:

Ransomware detection: BackupAssist ER posiada CryptoSafeGuard – wbudowaną funkcja, której zadaniem jest ochrona tworzonych kopii zapsowych przed oprogramowaniem ransomware poprzez skanowanie danych, których kopie zapasowe chcemy wykonać. W przypadku wykrycia potencjalnej infekcji wszystkie zadania tworzenia kopii zapasowych zostaną zablokowane. CryptoSafeGuard zapobiega również tworzeniu, usuwaniu lub aktualizowaniu danych w kopiach zapasowych przez nieautoryzowane procesy.

Layered protection: BackupAssist ER umożliwia tworzenie kopii zapasowej z dysku na dysk do chmury, dzieki czemu tworzy szybką lokalną kopię zapasową, a następnie replikuje ją do miejsca docelowego w chmurze. Lokalna kopia zapasowa jest łatwa i szybka w użyciu do odzyskiwania plików, aplikacji i pełnego systemu. Posiadanie kopii zapasowej w chmurze oznacza, że mamy także kopię offline danych odizolowana od lokalnych zagrożeń.

Zero-knowledge encryption: Po utworzeniu kopii zapasowej w chmurze dostawca chmury szyfruje dane w celu zapewnienia bezpieczeństwa. BackupAssist ER zapewnia dodatkową warstwę szyfrowania niezależnego od dostawcy przed przesłaniem danych przez Internet. Oznacza to, że dane są chronione przez cały proces, dostawca usług w chmurze nie widzi plików kopii zapasowych, a dane są chronione, nawet jeśli szyfrowanie dostawcy usług w chmurze zostanie naruszone.

Integrated Amazon AWS and Microsoft Azure support: BackupAssist ER ma zintegrowane usługi Amazon Web Services i Microsoft Azure. Oznacza to, że każde z tych popularnych rozwiązań chmurowych ma własny ekran konfiguracji miejsca docelowego.

Flexible backups: Każda kopia zapasowa to przyrostowa kopia zapasowa obrazu, której możemy użyć do odzyskiwania systemu od zera. Wszystkie zadania tworzenia kopii zapasowych obsługują VSS, więc spójne z aplikacjami kopie zapasowe są tworzone z aplikacji i baz danych VSS. A jeśli masz kopie zapasowe serwerów, które nie używają już BackupAssist ER, lub jeśli serwer, na którym jest zainstalowany BackupAssist ER, nie jest już dostępny, każda inna instalacja BackupAssist ER może zlokalizować te kopie zapasowe i użyć ich do odzyskania.

Reverse incremental: Silnik przetwarzania obrazu BackupAssist ER tworzy odwrotne przyrostowe kopie zapasowe, dlatego najnowsza kopia zapasowa jest zawsze pełną kopią zapasową. Oznacza to, że odzyskiwanie jest szybsze i nie musimy polegać na „łańcuchach” zapasowych. Jeśli tworzenie kopii zapasowej zostanie przerwane podczas krytycznego procesu cofania, zostanie naprawione przez następną kopię zapasową.

Efficient image to the cloud: Gdy lokalna kopia zapasowa jest replikowana w chmurze, jest ona kompresowana i deduplikowana, dzięki czemu minimalizujemy ilość przesyłanych danych. Obraz jest również wysyłany w pakietach, aby przypadkowe przerwy nie zagrażały integralności danych.

Wszystkich zainteresowanych dodatkowymi informacjami lub przetestowaniem BackupAssist ER, prosimy o kontakt z naszym biurem.

 

Zapraszamy do udziału w webinarium przygotowanym przez GFI Software, które poruszy temat zabezpieczania firmowych infrastruktur i zasobów IT w dobie pracy zdalnej.

Odkryj podstawowe narzędzia bezpieczeństwa, z których mogą korzystać pracownicy, aby utrzymać produktywność pracując z domu, a przedsiębiorstwa jednocześnie chronić sieć i zastrzeżone informacje firmowe.

Dowiedz się więcej na temat oprogramowania, z którego każdego dnia korzysta coraz więcej firm, a mianowicie:

• wirtualnej sieci prywatnej (VPN) do scentralizowania zdalnego dostępu i zarządzania nim;
• zapory sieciowej zapobiegającej nieautoryzowanemu dostępowi do lub z sieci prywatnych;
• narzędzia antyspamowego do ochrony przed spamem e-mail i atakami typu phishing.

Webinarium odbędzie się w środę 20 maja 2020 roku o godzinie 11:00. REJESTRACJA

Producent serwera pocztowego, firma IceWarp, udostępniła nową wersję serwera poczty oznaczoną numerem 12.3. Do najważniejszych zmian należy nowy interfejs pocztowy, w którym położono nacisk na przejrzystość interfejsu, pracę grupową, wymianę informacji, wyszukiwanie oraz edytowanie dokumentów w czasie rzeczywistym. Oprócz tego naprawiono błędy wykryte w poprzednich wersjach. Kompletna lista zmian dostępna jest pod adresem: http://dl.icewarp.com/patchinfo/12.3.0.txt

 

Przeprojektowany interfejs użytkownika

W nowym interfejsie producent położył duży nacisk na nowoczesność, przejrzystość oraz łatwość wyszukiwania elementów. W wersji 12.3 wyraźnie widoczne są poszczególne zakładki, a odświeżona górna belka umożliwia szybki dostęp do najczęściej używanych funkcji.

Dzięki możliwości podglądu plików w przeglądarce użytkownicy mogą otwierać je bez konieczności instalowania zewnętrznych aplikacji do obsługi plików PDF, czy dokumentów biurowych.

Jeszcze lepsza praca grupowa

W najnowszej wersji producent położył jeszcze większy nacisk na zintegrowanie serwera poczty z pracą grupową. Uczestnicy mogą nie tylko korzystać z komunikatora wbudowanego w serwer poczty, ale mogą również korzystać z ulepszonego TeamChata – funkcjonalności która umożliwia Tworzenie pokoi i zapraszanie do nich wybranych użytkowników, czy też całych zespołów. Wszelkie maile, czy informacje otrzymane na skrzynkę pocztową możemy przesłać do wybranego pokoju, aby udostępnić je konkretnym użytkownikom.

Dzięki ulepszonemu kreatorowi tworzenia pokoi użytkownicy mogą teraz łatwiej tworzyć pokoje z podziałem na publiczne, widoczne dla każdego współpracownika oraz prywatne, do których mogą zapraszać wybrane osoby. Co warte podkreślenia, do współpracy można zapraszać również osoby spoza organizacji. 

 Jednoczesna współpraca nad dokumentami i możliwość zapraszania do edycji

 W wersji 12.3 udoskonalono współpracę z dokumentami. Dzięki jednoczesnej edycji dokumentów i możliwości chronienia udostępnianych dokumentów hasłem, pliki nad którymi pracują członkowie zespołu są pod większą kontrolą. Możliwość wersjonowania dokumentów ułatwia zarządzanie plikami.

Aby dowiedzieć się więcej o serwerze poczty IceWarp zapraszamy na stronę https://icewarptech.pl oraz https://suncapital.pl

Zapraszam na przedostatnią część cyklu SOPHOS dotyczącą raportu bezpieczeństwa. Poprzednie części znajdują się tutaj, tutaj, tutaj i tutaj.

Automatyzacja pomaga w atakach

Atakujący używają kombinacji zautomatyzowanych narzędzi i samych użytkowników, aby coraz skuteczniej unikać wykrycia przez narzędzia służące do zapewniania bezpieczeństwa. W 2019 r. zespół operacyjny Sophos obserwował atakujących automatyzujących wcześniejsze etapy ataków, w celu uzyskania dostępu i przejęcia kontroli nad środowiskiem. Kolejnym etapem działania atakujących było zidentyfikowanie i przejęcie konkretnego użytkownika lub komputera.

Techniki unikania wykrywania przez atakujących są ciągle ulepszane, komputery atakowane są interaktywnie, przy udziale użytkownika – tym samym zmniejszana jest zależność od mniej skutecznych w pełni zautomatyzowanych metod. Po uzyskaniu dostępu osoby atakujące badają środowisko przy użyciu pasywnych i aktywnych technik – należy stworzyć topologię środowiska. Technika ta zapewnia ukrytą identyfikację kluczowych celów, takich jak administracyjne stacje robocze, stacje końcowe przechowujące dane oraz serwery kopii zapasowych.

Korzystając z legalnych narzędzi administracyjnych i innych narzędzi „z drugiego obiegu”, takich jak ping, nmap, net i nbtsat, atakujący przechodzi coraz wyżej w hierarchii dostępu do danych. Administratorzy, którzy ściśle monitorują logi, często wstępnie odfiltrowują te ruchy w narzędziach do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), ponieważ zachowania naśladują prawidłowe działania administratora i generują wiele fałszywych alarmów.

Atakowanie kopii bezpieczeństwa to dziś standard

Podczas incydentu w który zaangażowane jest oprogramowanie ransomware zawsze pada pytanie, czy możliwe jest przywrócenie danych do stanu sprzed ataku. Niestety, taktyki i procedury stosowane do kompromitowania i szyfrowania serwerów i punktów końcowych są tymi samymi metodami, których można użyć do skompromitowania automatycznych kopii zapasowych tak, aby owe kopie stały się bezużyteczne.
Atakujący zdali sobie sprawę, że w sytuacji, kiedy są w stanie zniszczyć kopie zapasowe lub uczynić je bezużytecznymi, od razu skutkuje to wyższym odsetkiem ofiar płacących okup. Organizacje skupiające się na tworzeniu kopii zapasowych i ich odzyskiwaniu, zamiast prewencyjnego i szybkiego neutralizowania zagrożeń, narażają się na ryzyko, ponieważ nie będą w stanie odzyskać danych z kopii zapasowych po atakach ransomware.

Oprogramowanie użytkowe jako malware

PowerShell i PsExec nadal są niezawodnymi narzędziami dla administratorów IT podczas wykonywania czynności administracyjnych w ich środowisku. Niestety, narzędzia te są również wykorzystywane do rozprzestrzeniania oprogramowania ransomware i do wyciągania danych danych. Wyzwaniem dla bezpieczeństwa jest określenie różnicy między złośliwym a nie-złośliwym użyciem tych narzędzi administracyjnych.

Rozproszenie kodu i skuteczne przekierowania wewnątrz złośliwych programów kierowanie są podstawą w cyber-rzemiośle. Można powiedzieć, że „łagodne złośliwe oprogramowanie” to kod, który został pomyślnie umieszczony na komputerze ofiary, wykonany, ale stało się to bez szkody dla użytkownika końcowego.  Jakiekolwiek dane dostępne dla atakującego mogą być dla niego przydatne, nie musi wykonywać czynności szkodzącym komputerom bezpośrednio.

Czy złośliwy kod/aplikacja została skutecznie zainstalowana/umieszczona na komputerze ofiary? Czy skrypt został poprawnie wykonany przy wykonywaniu zadania systemowego? Czy została nawiązana skuteczna komunikacja z serwerem włamywacza (c&c)? Czy aplikacja może być zdalnie zaktualizowana i usunięta? Sukces (lub porażka) każdej z tych czynności jest przydatny do testowania ataku i do realizowania fałszywych przekierowań wewnątrz aplikacji. Tworząc wiele możliwych aktywności wykrywanych przez aplikacje służące bezpieczeństwu, których wykrycie jest czasochłonne, ale same te aktywności nie są złośliwe, zachowanie aplikacji można zmodyfikować, aby przeprowadzić udany atak, który jest o  wiele cichszy i skuteczniejszy – aplikacja zapewniająca bezpieczeństwo skanuje potencjalnie niegroźne akcje, a złośliwa aplikacja w międzyczasie już wykonuje złośliwy kod.

Potencjalnie niechciane aplikacje są często ignorowane

Potencjalnie niechciane aplikacje (PUA) są interesujące, ponieważ są ignorowane w większości programów monitorujących bezpieczeństwo. Są niedoceniane, w porównaniu do szkód spowodowanych przez tradycyjne szkodliwe oprogramowanie. Niebezpieczeństwo związane z PUA polega na tym, że chociaż mogą wydawać się łagodne i zostać zignorowane (np. niechciana wtyczka do przeglądarki), mogą zostać aktywowane i wykorzystywane jako łącznik w dostarczaniu i złośliwego oprogramowania i ataku bez plików. W związku z faktem, że zespoły bezpieczeństwa dążą do automatyzacji oraz korzystania ze zautomatyzowanych reguł działania, ważne jest, aby nie lekceważyć cyklu życia ataku i technik stosowane przez zaawansowanych atakujących, ponieważ sama automatyzacja procedur to nie wszystko.

Jeśli chcesz dowiedzieć się więcej na temat rozwiązań SOPHOS, które pomogą ochronić Twoją organizację przed malware i innymi niebezpieczeństwami czyhającymi w sieci zajrzyj na stronę http://sophos.com.pl i na stronę https://suncapital.pl

Zachęcamy do rejestracji na trzy nadchodzące webinaria producenta SOPHOS, które odbędą się w kwietniu i maju bieżącego roku.

Hakujemy na żywo: Za kulisami ciemnego świata hakerów poniedziałek, 27 kwietnia | godz. 10:00 – 11:30

Zapuść się w mroczny świat hakowania i dowiedz się, jak dobrze jesteś przygotowany na cyberataki! Dzięki uczestnictwie w przygotowanym przez SOPHOS cyklu webinariów, uzyskasz niezbędną wiedzę i narzędzia do ochrony poufnych danych i urządzeń.

Podczas webinaru w j. angielskim, który odbędzie się 27 kwietnia 2020 roku, zewnętrzny specjalista ds. testów penetracyjnych z NSIDE pokaże na żywo, jak osoby atakujące przemycają złośliwe oprogramowanie do firm i w trybie ukrytym rozglądają się w niej zanim zaatakują. Dowiesz się, za pomocą jakich narzędzi możesz się chronić, dlaczego sztuczna inteligencja odgrywa istotną rolę i co należy zrobić w zakresie RODO.

REJESTRACJA

Techniczna symulacja powstrzymania ataku hakerskiego – Sophos Intercept X środa, 29 kwietnia |godz. 11:30 – 12:30

Drugie z cyklu, tym razem techniczne, webinarium będzie kontynuacją hakowania na żywo. W tej sesji w j. polskim producent pokaże w jaki sposób Sophos Intercept X z EDR wykrywa i blokuje podobne, jak w przypadku pierwszego webinarium, ataki hakerskie dzięki takim technologiom ochrony jak: głębokie uczenie, ochrona przed złośliwym oprogramowaniem typu ransomware czy wykrywanie luk w zabezpieczeniach. Uczestnicy zobaczą również jak takie ataki mogą być później analizowane za pomocą graficznej analizy przyczyn źródłowych.

REJESTRACJA

Inteligentny EDR & MTR – Wszystko, co powinieneś wiedzieć środa, 6 maja I godz.11:30 – 12:30

Niektóre zaawansowane cyberzagrożenia infekują system, nie wykazując natychmiastowych oznak naruszenia bezpieczeństwa. W tym webinarium w j .polskim producent SOPHOS podpowie, jak zwiększyć odporność cyberbezpieczeństwa na ataki dzięki Endpoint Detection and Response – funkcji wykrywania i reagowania na incydenty bezpieczeństwa opartej na sztucznej inteligencji oraz Managed Threat Response – zespołowi ekspertów wyszukujących cyberzagrożenia i reagujących na nie w trybie całodobowym.

REJESTRACJA

Zachęcamy do udziału!

Firma Sophos poinformowała, że wydana ostatnio aktualizacja dla Sophos UTM, oznaczona 9.703, może w pewnych okolicznościach spowodować blokadę ruchu przechodzącego przez urządzenie. W związku z powyższym, aktualizacja ta została tymczasowo wycofana.

Reagując na otrzymane informacje od klientów, u których aktualizacja Sophos UTM do wersji 9.703 spowodowała problemy z dostępem do GUI oraz przekazywaniem ruchu przez firewall, producent zdecydował o natychmiastowym wycofaniu tej aktualizacji oraz rozpoczęciu prac mających na celu rozwiązanie trudności nią spowodowanych.

W międzyczasie producent zapowiedział opublikowanie poprawki, która usunie firmware v9.703 z urządzeń, na których została ona pobrana i zainstalowana z serwerów Up2Date.

Dodatkowe informacje można znaleźć w aktualizowanym na bieżąco artykule: https://community.sophos.com/kb/en-us/135383

This post is password protected. To view it please enter your password below

Jak wszyscy wiemy, praca zdalna powoduje zwiększone ryzyko naruszenia bezpieczeństwa naszych prywatnych urządzeń jak również systemów bezpieczeństwa informatycznego naszych firm i organizacji. Niebezpieczeństwem tym między innymi zagrożone są nasze kopie zapasowe, czy to z powodu niedostępności wymiany nośników, na których są tworzone, zwiększonej aktywności hakerów, czy ataków ransomware.

Z myślą o tym firma Cortex – producent Backup Assist, rozwiązania do tworzenia kopii zapasowych systemów Windows, zadecydowała, że wszyscy jej obecni klienci, posiadający oprogramowanie Backup Assist w wersji 10 oraz wszyscy nowi klienci, do końca maja mogą nabyć z 50% zniżką dodatek Cloud Offsite Add-on lub Cloud Offsite Add-on Standalone. Dzięki temu uzyskają możliwość tworzenia w pełni zautomatyzowanych kopii zapasowych swoich danych poza siedzibą swojej organizacji.

Dodatek Cloud Offsite Add-on zapewnia:

• Biznesową technologię tworzenia kopii zapasowych plików i aplikacji w chmurze
• Szyfrowanie, deduplikację i kompresję danych AES-256
• Do 71% oszczędności miejsca na typowych zestawach danych, przy 100% prywatności i bezpieczeństwie
• Pełną kontrolę nad swoimi danymi
• Funkcjonalność Grandfather-Father-Son umożliwi Ci roczne, miesięczne, tygodniowe i codzienne punkty przywracania
• Tworzenie kopii zapasowych i przetrzymywanie ich w Amazon S3, Microsoft Azure lub prywatnej chmurze

Wszystkich zainteresowanych zapraszamy do kontaktu z biurem Sun Capital.

Puste biuro może stanowić wyjątkowe ryzyko dla naszej infrastruktury IT. Oto kilka sposobów na przygotowanie się do zamknięcia biura i zwiększenia bezpieczeństwa IT. Twórca tego raportu – Linus Chang jest pracownikiem Backup Assist – rozwiązania do tworzenia kopii zapasowych systemów Windows. Omawia on wyzwania i problemy, które widzi w związku z utrzymaniem infrastruktury IT podczas pandemii wirusa, a także dzieli się z nami swoimi zaleceniami i rozwiązaniami.

Problemy wynikające z blokady Wyjątkowe okoliczności związane z pandemią koronawirusa stanowią wyzwanie dla cyber-odporności naszych firm czy instytucji. Problem 1: kto wymieni dyski z kopiami zapasowymi.

W wielu firmach, w których wykonuje się kopię zapasową, jest ona zapisywana np. na dysku USB, kasetach RDX lub taśmach, co w przypadku, gdy w biurze nie będzie nikogo, kto wymieniłby nośniki, na których kopia zapasowa jest zapisywana?

Jeśli wszyscy pracują z domu musimy pamiętać, że samo urządzenie do tworzenia kopii zapasowych pozostanie podłączone, a kopie zapasowe będą ciągle nadpisywane.

Jeśli zależy nam na utrzymywaniu kopii zapasowej poza siedzibą i / lub offline, musimy dokonać pewnych zmian (omówionych później), aby nasza strategia backupu miała szansę bytu i co najważniejsze spełniała swoje założenia.

Problem 2: gdy nie ma kota, myszy harcują!

Należy pamiętać, że w czasie ograniczeń w przemieszczaniu się i globalnego home office
zdecydowanie mniej osób korzysta z naszej infrastruktury na miejscu, możliwe jest więc, że pewne niepożądane działania zostaną wykryte po upływie dłuższego okresu czasu.

Oto niektóre z możliwych zdarzeń, które stanowią realne zagrożenie, gdy w pobliżu nie ma nikogo, kto mógłby śledzić wydarzenia na bieżąco.

Zagrożenie 1: do naszej sieci ma miejsce włamanie, czego następstwem jest zaszyfrowanie danych (atak ransomware).

Zagrożenie 2: Złodzieje włamują się do pomieszczeń naszej firmy, kradnąc sprzęt.

Zagrożenie 3: nieuczciwi pracownicy dokonują sabotażu (np. kasując wrażliwe dane)

Do tego należy dodać inne zagrożenia, jak pożar, czy zalanie…

Zdaniem autora pierwsze zagrożenie stanowi największe ryzyko w przypadku blokady COVID-19. W miarę jak coraz więcej osób zaczyna konfigurować „homeoffice”, coraz więcej firm będzie polegać na narzędziach zdalnego dostępu różnych firm. Wszelkie błędne konfiguracje zapór ogniowych lub problemy, takie jak słabe hasła, mogą potencjalnie ułatwić włamanie do naszej sieci.
Podobnie jak w przypadku każdego udanego ataku hakerskiego, wszelkie kopie zapasowe, które są online (to znaczy są podłączone lub dostępne z dowolnego komputera w sieci) są podatne na usunięcie.

Problem 3: wolniejsze wykrywanie zdarzeń ransomware

Zwykle wykrycie ataku ransomware jest… łatwe. Personel wchodzi do pracy, próbując zalogować się do swoich komputerów wszędzie widzi informację o zaszyfrowaniu danych. Jednak w obecnej sytuacji wiele firm nie pracuje lub pracuje w mniejszym zakresie niż zazwyczaj, jest ograniczona liczba operacji, więc nie ma nikogo, kto mógłby znaleźć infekcję. W sytuacjach związanych z pracą w domu ransomware może wyłączyć zdalny dostęp, tym samym nasza świadomość, o tym, co dzieje się w firmie jest poważnie ograniczona.

Twoje cele i wymagania dotyczące cyber-odporności

Nadrzędnym celem w zakresie odporności cybernetycznej jest odzyskanie systemu w przypadku niepożądanego zdarzenia. Następnie możemy podzielić ten ogólny cel na mniejsze:

Cel 1: Zabezpieczenie w postaci kopii zapasowej, niezbędnej do odzyskania utraconych danych i upewnienie się, że kopia zapasowa jest zabezpieczona przed hakerami, złodziejami i niesolidnymi pracownikami.
Cel 2: Utrata jak najmniejszej ilości danych.
Cel 3: Odzyskanie utraconych danych w możliwie najkrótszym czasie.

Osiągnięcie tych celów w ramach ograniczeń związanych z blokadą COVID-19 jest możliwe przy odrobinie chęci i przygotowania.

Zalecenia i rozwiązania

Poniżej zalecenia Linusa dotyczące najlepszych sposobów na zachowanie funkcjonalności infrastruktury informatycznej w czasie zamknięcia biura COVID-19. Autor zaleca ich zastosowanie lub dostosowanie ich do własnych scenariuszy.

Zalecenie 1: upewnijmy się, że nasz „bazowy punkt przywracania” (baseline recovery point) znajduje się poza siedzibą i dodatkowo offline. Oraz, że data powstania (baseline recovery point) jest możliwie zbliżona z datą zamknięcia biura.
W przypadku większości firm ta kopia zapasowa powinna być pełną kopią zapasową systemu, która jest odłączona od komputera, przełączona w tryb offline i umieszczona poza siedzibą.

Dlaczego dobrze jest mieć bazowa kopia zapasową?

Ważne jest, aby przenieść tę kopię zapasową w tryb offline, ponieważ jeśli biuro jest bez nadzoru od tygodni, jest to dobra okazja dla hakerów do przeniknięcia do sieci i zniszczenia lub uszkodzenia kopii zapasowych. Pamiętaj, że haker nie może sabotować dysku twardego lub kasety RDX, która stoi na półce!

Zabranie kopii zapasowej poza firmę i przechowywanie jej w bezpiecznym miejscu może ograniczyć kradzież lub grabież.

Obraz systemu jest zazwyczaj najszybszym sposobem na pełne przywrócenie systemu.

Jak wykonać kopię baseline recovery point

Autor artykułu zaleca, aby ta kopia zapasowa była dodatkową kopią zapasową systemu, z którego obecnie korzystamy. Wystarczy skonfigurować kolejne zadanie ochrony systemu w programie BackupAssist i uruchomić ręczne tworzenie kopii zapasowej.

Oznacza to, że w razie opisanych powyżej przypadków możemy wrócić do punktu początkowego – kiedy to nasza organizacja rozpoczynała pracę zdalną.

Zalecenie 2: wykonaj automatyczne kopie zapasowe plików do chmury – aby zminimalizować potencjalną utratę danych.

Dlaczego kopie zapasowe w chmurze?

1. Kopie zapasowe w chmurze automatycznie znajdują się poza siedzibą twojej firmy
2. Ich wykonywanie minimalizuje potencjalna utratę danych
3. Nikt nie musi tego robić

W przeciwieństwie do innych sposobów tworzenia lokalnej automatycznej kopii zapasowej (na przykład do NAS lub DAS), istnieje wyższy poziom zabezpieczenia w przypadku próby włamania. Wiele ataków ransomware skanuje i wyszukuje urządzenia NAS. Kopie zapasowe przechowywane w chmurze są pod tym względem bezpieczniejsze (choć nie są całkowicie odporne na hakerów, jeśli hakerowi uda się ukraść dane uwierzytelniające do konta w chmurze. W tym momencie ważne staje się 2FA (uwierzytelnianie dwuetapowe) dla konta w chmurze).

Jak skonfigurować kopie zapasowe w chmurze?

Istnieje kilka różnych opcji – różnią się one w zależności od tego, czy chcemy wykonać kopię zapasową wszystkich plików, czy tylko tych najnowszych – które zmieniły się od momentu wykonania przywrócenia punktu początkowego (baseline recovery point). To z kolei zależy od tego, jak dużo mamy danych.

Poniżej przedstawiono różne opcje:

Opcja 1: wykonaj kopię zapasową wszystkich wybranych plików i aplikacji (niezależnie od ich wieku)

Jeśli korzystasz BackupAssist masz możliwość utworzenia kopii zapasowej w Amazon AWS S3 lub Microsoft Azure. Konfiguracja zadania wymaga tylko wskazania plików i folderów, których kopię zapasową chcesz utworzyć. Uwaga – wymaga to dodatku BackupAssist Cloud Offsite.

Jeśli wolisz skorzystać z innych opcji przechowywania w chmurze, możesz wykonać kopię zapasową pliku lokalnie, a następnie użyć aplikacji do synchronizacji plików, aby zsynchronizować je poza siedzibą:

Po pierwsze, stwórz nowy katalog, w którym możesz przechowywać kopię typu mirror swoich plików. Następnie skonfiguruj zadanie ochrony plików w programie BackupAssist, aby wykonać kopię zapasową wybranych plików i aplikacji w tym katalogu.

Po drugie, zainstaluj wybraną aplikację do synchronizacji w chmurze, aby zsynchronizować ten katalog z chmurą. Typowe opcje obejmują aplikację OneDrive, Dysk Google, Dropbox i narzędzia do synchronizacji OwnCloud.

Na koniec, jeśli chcesz mieć trzecią kopię swoich plików, użyj BackupAssist 365, aby pobrać kopię plików w chmurze z powrotem do lokalnego miejsca docelowego. BackupAssist 365 obsługuje obecnie pobieranie plików z OneDrive, OneDrive dla Firm i SharePoint.

Opcja 2: wykonaj kopię zapasową tylko najnowszych plików za pomocą robocopy.

Można tworzyć kopie zapasowe ostatnio zmienionych plików na dysku lokalnym za pomocą Robocopy. Następnie wykonać kopię zapasową tej kopii w chmurze. Ten dwustopniowy proces radykalnie zmniejsza ilość kopii zapasowej danych – oszczędzając czas i koszty przechowywania.

Może to być świetna opcja, jeśli mamy duży zestaw danych i potrzebujemy SZYBKICH kopii zapasowych w chmurze. W końcu przesyłanie 1 GB danych jest znacznie szybsze niż 500 GB. Najpierw musimy wykonać lokalną kopię zapasową tych plików, a następnie wykonać kopię zapasową lokalnej kopii zapasowej w chmurze.

Ta opcja używa narzędzia „robocopy” w celu kopiowania ostatnio zmienionych plików do lokalnego katalogu kopii zapasowej.

Skrypt robocopy – ten skrypt będzie działał dla większości przypadków (pisownia oryginalna):

robocopy E:\Work D:\LocalBackup /e /sec /maxage:20200311 /r:3

In this example –
E:\Work is our source directory
D:\LocalBackup is your local backup directory
/s says to copy subdirectories
/maxage:20200311 says back up everything since 11th March 2020. Modify this to your needs.
/r:3 means retry a file up to 3 times, and otherwise skip it. You need this parameter to avoid robocopy trying to retry a million times.

Następnie możemy skonfigurować BackupAssist Cloud, w taki sposób aby utworzyć kopię zapasową lokalnego katalogu kopii zapasowej w chmurze.
Instrukcje, jak to zrobić, znajdują się w dokumentacji Cloud Backup. Zalecamy również uruchomienie skryptu robocopy jako skryptu poprzedzającego tworzenie kopii zapasowej. Instrukcje dodawania skryptu do BackupAssist znajdują się w dokumentacji skryptów.

Jeśli nie korzystamy z BackupAssist, możemy stworzyć skrypty i skorzystać z narzędzia do synchronizacji w chmurze (jak wspomniano powyżej). Następnie możemy użyć BackupAssist 365, aby ponownie pobrać te pliki do innej lokalizacji.

Zalecenie 3 – aktywuj powiadomienia SMS w CryptoSafeGuard

Trzecie zalecenie, które przedstawiono, to aktywacja funkcji SMS w CryptoSafeGuard. CryptoSafeGuard automatycznie skanuje kopię zapasową zestawu danych w poszukiwaniu dowodów uszkodzenia plików przez oprogramowanie ransomware. Funkcja SMS jest bardzo przydatna, ponieważ oznacza, że otrzymamy powiadomienie, jeśli CryptoSafeGuard znajdzie podejrzaną aktywność.

Uwaga: Będzie to wymagało subskrypcji BackupCare.

Zalecenie 4 – wyłącz komputery i urządzenia, które nie muszą być włączone

Pamiętajmy, że każde urządzenie w sieci jest potencjalnym punktem wejścia dla osób niepowołanych. Jedynym sposobem na ograniczenie możliwości ataku jest zmniejszenie śladu w sieci.

Dlatego wyłączmy wszystko, co nie musi być dostępne podczas blokady. W szczególności chodzi o:

– izolowanie routerów i switch’ów – przełączanie ich w tryb offline

– komputery, które nie będą dostępne zdalnie lub nie będą potrzebne do obsługi zdalnego dostępu

– urządzenia takie jak drukarki

– dostęp Wi-Fi dla gości

Źródło:https://www.backupassist.com/blog/backups-and-covid-19-lockdown

Opierając się na opublikowanym przez Sophos artykule informujemy, że producent otrzymał zgłoszenia od użytkowników Sophos Firewall OS, dotyczące problemu związanego z zatrzymaniem usługi antywirusa, spowodowanego błędną aktualizacją sygnatur.

Problem ten dotyczy wyłącznie urządzeń SFOS, które zostały niedawno uruchomione ponownie lub w których zostały wprowadzone zmiany w konfiguracji, powodujące automatyczne zrestartowanie usługi AV, celem ich zatwierdzenia.

Zaobserwowany problem może powodować trudności w dostarczaniu wiadomości elektronicznych oraz zrywanie połączeń do stron internetowych.

Jak zidentyfikować czy zostałeś dotknięty tym problemem

Urządzenia, których dotknął ten problem, rejestrują następujące komunikaty w /log/avd.log:

• /bin/avd: error while loading shared libraries: libssp.so.0: cannot open shared object file: No such file or directory

Usługa antywirusa zostanie na nich zatrzymana, a aktualizacja sygnatur dla antywirusów (Avira i Sophos) zostanie pokazana jako błędna. Użytkownicy mogą potwierdzić ten stan w interfejsie administracyjnym SFOS, w sekcji „Pattern Updates” oraz przy użyciu powłoki (Advanced Shell):

• service -S | grep antivirus

antivirus STOPPED

 Co należy zrobić

Aktualizacja sygnatur AV zawierająca poprawkę zostanie automatycznie zaaplikowana na wszystkich urządzeniach SFOS.

Jeśli jesteś w gronie użytkowników, których urządzenia zostały dotknięte tym problemem, zastosuj się do poniższej instrukcji.

Dla użytkowników korzystających z urządzeń SFOS v18 EAP2 lub nowszych:

1. Z poziomu powłoki (Advanced Shell):
   • /scripts/av_version_change.sh savi
   • /scripts/av_version_change.sh avira
2. Następnie uruchom aktualizację sygnatur z poziomu graficznej konsoli administracyjnej.

Użytkowników korzystających z urządzeń SFOS v17.5.x, producent prosi o utworzenie zgłoszenia supportowego i przekazanie w nim następujących informacji:

1. Włącz Dostęp dla supportu (Support Access Tunnel) oraz przekaż Access ID.
2. Przekaż zgodę na dodanie przez support Sophos kluczy RSA/SSH umożliwiających aplikację poprawki.

Jeśli zostałeś dotknięty tym problemem i nie wiesz co zrobić dalej – napisz do nas.

 

Źródło (artykuł podlega stałej aktualizacji): https://community.sophos.com/kb/en-us/135351

Do wszystkich grzechów zaniechań, które z takich, czy innych powodów są popełniane można dodać na pocieszenie, że zagrożenie typu Zero Day, jest głównym powodem dla którego problem ransomware nigdy nie zostanie w pełni wyeliminowany. Niestety marna to pociecha… Zagrożenie to dotyczy nawet najbezpieczniejszych systemów, ponieważ ich podatność na włamanie nie jest jeszcze znana ich producentom i tym samym użytkownikom. System może być w 100% zaktualizowany oraz załatany a mimo tego, ktoś znalazł możliwość jego zainfekowania.

Co ransomware może Ci zaserwować, gdy dostanie się na Twój komputer

Ta część artykułu ma na celu objaśnienie, co robi oprogramowanie ransomware po jego zainstalowaniu na naszym systemie. Autorzy z BackupAssist podpowiadają na co zwrócić naszą uwagę, co robić, a czego lepiej nie, gdy już znajdziemy się w takiej sytuacji.

Ransomware starter #1: instalacja backdorów
Przykładowo w BIOS lub UEFI komputera, dzięki czemu może „wrócić do życia”, nawet jeśli dysk twardy zostanie wyczyszczony, a system operacyjny ponownie zainstalowany.

Ransomware starter # 2: rozprzestrzenianie
Ransomware może rozprzestrzenić się w dowolnym miejscu, do którego można uzyskać dostęp z pulpitu. Często w środowisku sieciowym ransomware rozprzestrzenia się na inne komputery będące w naszej sieci, dotyka to również wszelkich udziałów sieciowych z którymi jesteśmy połączeni, a następnie wykorzystując luki w zabezpieczeniach oprogramowania szyfruje je.

Szyfrowanie i blokowanie danych
Teraz zaczyna się najgorsze. Głównym celem Ransomware jest wyszukiwanie plików i szyfrowanie ich jeden po drugim. Niestety dla nas procesory komputerowe i dyski pamięci są obecnie tak szybkie, że szyfrowanie może nastąpić szybko. Linus Chang, ekspert ds. Szyfrowania, mówi, że na zwykłych komputerach „dane mogą być szyfrowane z szybkością powyżej 300 GB na godzinę. Większość danych może zostać zablokowana w ciągu zaledwie kilku godzin.”

Po zaszyfrowaniu ważnych plików ransomware wyświetli powiadomienie. To powiadomienie może być otwartym plikiem tekstowym lub w przypadku nowego oprogramowania ransomware, krzykliwą, trudną do przeoczenia grafiką przeglądarki.

2 przykłady powiadomień ransomware

Powiadomienie o ransomware ma na celu zmuszenie cię do podjęcia szybkiej decyzji, jeśli opóźnisz się z zapłatą nigdy nie odzyskasz swoich danych… Czy zapłacenie okupu rozwiązuje problem?

To złożone pytanie, które ma zarówno bezpośrednie, jak i globalne implikacje.

Większość płatności ransomware skutkuje otrzymaniem klucza odszyfrowującego, ale w około 5% nawet po dokonaniu płatności dane zostają zaszyfrowane.
Nawet jeśli Twoje dane są odszyfrowane, twoja sieć może nadal być zagrożona przez backdoory i złośliwe oprogramowanie. Może to prowadzić ponownego ataku…

Kłopot polega na tym, że nawet jeśli zapłacisz, nie musi to oznaczać końca wymuszeń. Możesz zostać ponownie zaatakowany.

Na poziomie globalnym wiele organów ścigania odradza płacenie okupu, ponieważ jest zachęta dla cyberprzestępców. Jednak w przypadku organizacji, które nie przygotowały i nie wdrożyły odpowiedniej ochrony przed oprogramowaniem ransomware, taki punkt widzenia nie ma zastosowania.

Jak uniknąć zapłaty okupu?

Są tylko dwa sposoby uniknięcia zapłacenia okupu:

Zaakceptuj, że utraciłeś swoje dane, lub odzyskaj je za pomocą kopii zapasowej.

Jeśli przygotowałeś się wcześniej wdrażając solidną ochronę przed ransomware z odpowiednią kopią zapasową, odzyskanie danych i ich przywrócenie nie powinno być problemem.

ZAPOBIEGANIE – Jak przeżyć atak ransomware Pierwsze siedem kroków polega przede wszystkim na zapobieganiu rozprzestrzeniania ransomware. Im więcej z tych kroków podejmiesz, tym lepiej. 1) Użyj oprogramowania antywirusowego i filtrowania wiadomości e-mail

Zainstaluj oprogramowanie antywirusowe na wszystkich komputerach. Oprogramowanie powinno być regularnie aktualizowane, powinno skanować pliki, które są otwierane i wysyłane.

DZIAŁANIE: sprawdź, czy program antywirusowy na wszystkich serwerach i komputerach jest aktualizowany poprawnie.
Skonfiguruj filtrowanie wiadomości e-mail na serwerze pocztowym. Filtry poczty e-mail sprawdzają spam, wiadomości e-mail z podejrzanych źródeł, w tym również ransomware, kontrolują też wiadomości e-mail zawierające załączniki.

2) Łatki i aktualizacje urządzeń

Wszystkie systemy operacyjne dla serwerów i komputerów stacjonarnych powinny być aktualizowane. Te łatki często zawierają ulepszenia bezpieczeństwa oparte na nowych zagrożeniach i exploitach.

DZIAŁANIE: Wprowadź proces sprawdzania i wdrażania aktualizacji zabezpieczeń. Wszelkie luki należy załatać w ciągu 48 godzin.

3) Popraw i zaktualizuj oprogramowanie

Większość aplikacji działa w oparciu o dostęp do Internetu, co czyni je otwartymi na działanie ransomware.

DZIAŁANIE: Przeprowadź inspekcję wszystkich aplikacji, aby upewnić się, że są one bezpiecznie skonfigurowane i załatane. Sprawdź aplikacje, które nie są już obsługiwane, ponieważ mogą wymagać aktualizacji. W szczególności aplikacje takie jak Flash, przeglądarki internetowe, Microsoft Office, Java i przeglądarki plików PDF.

DZIAŁANIE: Skonfiguruj przeglądarki internetowe, aby blokowały Flash i Javę jeśli te funkcje nie są potrzebne, przejrzyj wszystkie makra Microsoft Office, które uzyskują dostęp do Internetu.

4) Zabezpiecz wszystkie punkty zdalnego dostępu

Narzędzia zdalne, takie jak RDP (remote desktop protocol), umożliwiają zdalny dostęp do komputerów w celu zdalnej pracy i obsługi systemu. RDP jest częstym celem ransomware i musi być bezpiecznie skonfigurowany.

DZIAŁANIE: Rozważ zastosowanie uwierzytelniania wieloetapowego w przypadku działań związanych z dostępem zdalnym (RDP i VPN). Można to również zaimplementować w przypadku dostępu do ważnych obszarów w sieci.

5 Nie używaj prostych lub domyślnych danych logowania

DZIAŁANIE: Sprawdź wymagania dotyczące hasła użytkownika i upewnij się, że wszystkie hasła RDP są silne.

DZIAŁANIE: Sprawdź, czy uprawnienia administracyjne zostały nadane tylko potrzebnym użytkownikom i procesom oraz czy są one używane tylko do zadań, które wymagają tych uprawnień.

6 Uważaj na podłączone urządzenia

Zarządzaj wymiennymi dyskami USB. Ogranicz dostęp do dysków wymiennych i urządzeń używanych do tworzenia kopii zapasowych.

DZIAŁANIE: Sprawdź, jak często dane są przenoszone lub udostępniane w Twojej firmie lub organizacji za pomocą dysków, sprawdź czy można użyć bezpieczniejszej opcji – takiej jak Dropbox lub Dysk Google.

7 Promuj świadomość użytkowników

Mimo że będziesz mieć zainstalowane oprogramowanie antywirusowe i filtrujące wiadomości e-mail, żadne oprogramowanie nie będzie niezawodne. Oznacza to, że świadomość użytkowników jest równie ważna zwłaszcza w przypadku obsługi wiadomości e-mail.

DZIAŁANIE: Opracuj podejrzaną listę kontrolną e-mail i przekaż ją wszystkim pracownikom

Ta lista kontrolna e-mail może zawierać:

Czy treść e-maila wydaje się niejasna?
Czy adres e-mail wygląda poprawnie dla tego, od kogo ma pochodzić?
Czy w głównej części wiadomości e-mail występują błędy pisowni?
Czy istnieje poczucie pilności?
Czy rozpoznajesz rozszerzenie pliku załącznika?
W razie wątpliwości należy poinformować o tym wsparcie IT. Jeśli masz taką możliwość, zadzwoń do nadawcy, aby zweryfikować wiadomość e-mail.

USUWANIE – Jak pozbierać się po ataku ransomware Ostatnie trzy kroki dotyczą naprawy i/lub przywracania systemów i danych bez konieczności płacenia okupu. 8) Utwórz kopię zapasową wszystkich ważnych danych

Upewnij się, że masz pełne, regularne kopie zapasowe wszystkich serwerów, komputerów stacjonarnych i urządzeń, na których utratę nie możesz sobie pozwolić.

Odzyskiwanie danych z kopii zapasowych jest jedynym bezpiecznym sposobem przywrócenia danych po ataku ransomware.

Oznacza to, że powinieneś zidentyfikować, które systemy i dane mają krytyczne znaczenie dla Twojej firmy i należy je przywrócić lub odzyskać w przypadku ataku. Powinieneś także upewnić się, że masz odpowiedni system kopii zapasowych dla swojej organizacji. Omówimy to bardziej szczegółowo w dalszej części tego artykułu.

DZIAŁANIE: Aby sprawdzić, czy strategia tworzenia kopii zapasowych jest odpowiednia, wykonaj odzyskiwanie testowe dla swoich systemów. Potwierdzi to, czy plan tworzenia kopii zapasowych i odzyskiwania działa zgodnie z przeznaczeniem.

9) Regularnie monitoruj i testuj swoje kopie zapasowe, wykonując odzyskiwanie

Bardzo ważne jest, aby wykonać testowe odzyskiwanie z kopii zapasowej. Musimy mieć pewność, że jest kopie są kompletne i działają poprawnie.

Błędem wielu osób jest jednorazowe skonfigurowanie systemu kopii zapasowych i pozostawienie go na wiele miesięcy lub lat bez testowania odzyskiwania. Problem polega na tym, że rzeczy mogą się zmieniać z czasem:

Administratorzy mogą dodawać dodatkowe dyski twarde lub Network Attached Storage (NAS), ale często nie pamiętają aby dodać nowe urządzenia do kopii zapasowej

Nośniki kopii zapasowych – takie jak dyski twarde – mogą z czasem ulec zużyciu i przestać działać

Hakerzy mogą wyłączyć lub sabotować kopie zapasowe przed atakiem ransomware, aby uniemożliwić ich odzyskanie.

Monitorowanie i testowanie systemu tworzenia kopii zapasowych umożliwia wykrycie tych i innych problemów z wyprzedzeniem.

10) Przygotuj plan reakcji

Utwórz dokument dla Planu Reagowania Ransomware, wyjaśni on, co należy robić w przypadku ataku.

Pamiętaj o przetestowaniu planu na żywym organizmie, dzięki temu ustalisz niedociągnięcia i wrażliwe obszary, które mogą wymagać dodatkowego zaangażowania.

 

To koniec drugiej części raportu, kolejne już niebawem. Jeśli chcecie już dziś zapoznać się z całością, to odsyłamy do źródła i życzymy udanej lektury.

Źródło: https://www.backupassist.com/blog/ransomware-protection-guide

Obecny okres sprzyja pracy zdalnej oraz owocuje w większą niż zazwyczaj ilość wolnego czasu po pracy, ze względu na przymusowe zamknięcie niemal wszystkich placówek rozrywkowych i sklepów innych niż spożywcze.

Zapraszam w takim razie na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym odcinku zajmiemy się kwestiami bezpieczeństwa chmury i danych w niej przechowywanych. 

Poprzednie części można znaleźć tutaj, tutaj i tutaj.

W ostatniej dekadzie chmura stała się bardzo popularną platformą do przechowywania i przetwarzania dużych ilości danych. Niestety, wraz z rozwojem tej technologii firmy odkryły, że przekazanie wszystkich ich najcenniejszych informacji do zwirtualizowanego magazynu danych może doprowadzić lub już doprowadziło do nieumyślnego, często niekontrolowanego naruszenia tych danych, na gigantyczną i niespotykaną wcześniej skalę.

Misją firmy Sophos od zawsze była ochrona użytkowników przed atakami intruzów nastawionych miedzy innymi na zyski finansowe lub szpiegostwo. Ochrona danych przechowywanych w chmurze wymaga jednak zupełnie innego zestawu narzędzi, ponieważ model zagrożenia różni się znacznie od zagrożeń, które mogą dotknąć  stacje robocze lub serwery.
To, co sprawia, że chmura jest świetną platformą do obliczeń i operacji biznesowych, stwarza również pole do potencjalnych naruszeń bezpieczeństwa. Tempo zmian zachodzących w platformach przetwarzania w chmurze jest coraz szybsze, przez co zapanowanie nad wszystkimi ustawieniami i poprawną konfiguracją takiej chmury staje się coraz trudniejsze.

Największym problemem jest chmura sama w sobie

Elastyczność to kluczowa zaleta w chmurowym przetwarzaniu danych. Przy bardzo małym wysiłku, właściwie przy pomocy kilku kliknięć można włączać i wyłączać zasoby – w zależności od aktualnego obciążenia i potrzeb. Ułatwia to firmom zwiększenie mocy obliczeniowej w celu dostosowania do potrzeb klientów.
Jeśli chodzi o zabezpieczanie chmury, cała ta elastyczność i łatwość, z jaką administrator centrum danych może udostępnić lub zmienić konfigurację całej infrastruktury, może obrócić się później przeciw niemu – jeden fałszywy krok może doprowadzić do przypadkowego otwarcia przez administratora całej bazy danych klientów na świat.

Ponadto, tempo zmian zachodzących w platformach przetwarzania w chmurze może samoistnie przyczyniać się do problemów, których administratorzy mogą nawet nie być świadomi. Gotowe narzędzia do zdalnego zarządzania i administracji, czasem nawet te dostarczane przez samych operatorów chmury, mogą zawierać luki w zabezpieczeniach, które mogą skutkować wyciekiem danych.

Pamiętajmy też o sytuacjach związanych pośrednio z bezpieczeństwem chmury, ale powiązanych dość ściśle z bezpieczeństwem na stacjach końcowych, szczególnie tych z uprawnieniami administracyjnymi. Jeśli komputer administratora zostanie zainfekowany złośliwym oprogramowaniem kradnącym dane uwierzytelniające, jest możliwe, że poświadczenia administracyjne lub dane uwierzytelniające do konta w chmurze zostaną skradzione i wykorzystane do przeprowadzenia kolejnych ataków – tym razem przy użyciu  chmurowego konta  administracyjnego.

Przyczyną większości naruszeń bezpieczeństwa jest zła konfiguracja

Naukowcy Sophos Labs uważają, że przyczyną znaczącej większości naruszeń bezpieczeństwa i wycieków danych z chmury jest jej zła konfiguracja. Najczęściej błędy w konfiguracji nie wynikają ze złej woli administratora. Platformy chmurowe są skomplikowane same w sobie i bardzo często trudno jest zrozumieć i wyobrazić sobie negatywne konsekwencje wprowadzenia konkretnego ustawienia, na przykład w bardzo popularnej usłudze Amazon Simple Storage Service (S3). Dodatkowo, bardzo często jedno ustawienie wpływa na cały szereg innych kontenerów danych i administrator może nie mieć świadomości, że jedna opcja zmieniona w konkretnym kontenerze danych może spowodować upublicznienie danych na innych kontenerach – również przez niego zarządzanych.

Duże wycieki danych, spowodowane złą konfiguracją chmury stają się coraz częstsze i niestety – będą coraz częstsze. Naruszenia integralności danych dotykają firmy z różnych sektorów gospodarki, od Netflixa po firmę Ford. W obu tych przypadkach naruszenie danych polegało na udostępnieniu dużej ilości wewnętrznych danych firmy, zwanych jeziorami danych, na zewnątrz, przez co dostęp do tych danych miała dowolna osoba spoza organizacji. Pod koniec 2019 roku badacze bezpieczeństwa odkryli znajdujące się na serwerach Amazona duże ilości danych, należące do dostawcy rozwiązań do archiwizacji. Dane te należały do klientów tej firmy i w założeniu nie powinny ujrzeć światła dziennego. Stało się jednak zupełnie inaczej – kompletne kopie zapasowe kont utworzonych w usłudze One Drive były widoczne w sieci. Konta, do których dostęp mógł mieć każdy, zawierały poufne dane firmowe, wrażliwe dane z działów HR oraz inne dokumenty dotyczące pracowników. Na domiar złego, znajdowały się one na serwerach Amazona od 2014 roku. Do dnia dzisiejszego nie udało się ustalić, czy dostęp do tych danych miał ktoś poza osobami rzeczywiście do tego upoważnionymi.

Mając wgląd i świadomość konsekwencji pozornie nieszkodliwych zmian w konfiguracji usługi chmurowej, a także mając możliwość monitorowania samej chmury pod kątem złośliwych lub podejrzanych działań lepiej zabezpieczamy się przed utratą, czy narażeniem na wypłynięcie wrażliwych danych do informacji publicznej.

Brak widoczności wykonywanych działań dodatkowo zaciemnia obraz sytuacji

Niestety, wielu użytkowników platform przetwarzania danych w chmurze nie ma możliwości dokładnego monitorowania tego, co robią ich maszyny w serwerowni znajdującej się nawet kilkaset kilometrów dalej. Przestępcy bardzo dobrze o tym wiedzą i właśnie z tego powodu atakują platformy chmurowe – mogą działać w instancjach chmurowych przez dłuższy czas, zanim właściciele tych instancji zorientują się, że coś w ogóle jest nie tak.

Jednym z najbardziej jaskrawych przykładów zagrożenia opisanego powyżej jest użycie Magecart, złośliwego kodu JavaScript, którego napastnicy używali w ciągu ostatniego roku bardzo intensywnie do infekowania stron przenoszących użytkowników do koszyków sprzedawców internetowych za pomocą kodu uwierzytelniającego lub karty płatniczej. Mechanizm ataku wyglądał zazwyczaj następująco:  osoby rozprzestrzeniające kod Magecart wykorzystywały błędne konfiguracje w instancjach przetwarzania w chmurze w celu zmodyfikowania kodu JavaScript odpowiadającego za obsługę koszyka na zakupy, a następnie przesyłali ten zmodyfikowany kod z powrotem do instancji przetwarzania w chmurze. W ten sposób atak był uwierzytelniony, ponieważ wszystko zdawało się pochodzić od zaufanego właściciela sklepu internetowego.

Atak z użyciem kodu Magecart dotyczył bardzo wielu znanych firm, między innymi Ticketmaster, Pacific Airways, czy British Airways. Co istotne, firmy zorientowały się, że złośliwy kod znajduje się na stronach płatności za ich usługi dopiero w momencie, gdy zaczęli zgłaszać się do nich klienci, którzy użyli swoich kart kredytowych i danych bankowych i zaobserwowali nieautoryzowane transakcje.

Hipotetyczny przykład naruszenia bezpieczeństwa danych w chmurze

Bezpieczeństwo instancji w chmurze może zostać naruszone na wiele sposobów i z wielu różnych powodów.

Niektórzy przestępcy próbują rozprzestrzeniać złośliwe koparki kryptowalut na duże platformy chmurowe, pomimo malejącego zwrotu z inwestycji, jakie zapewniają takie programy –  zasoby wymagane do kryptomingu nie należą do przestępcy:

W naszym hipotetycznym scenariuszu duża firma zatrudniająca kilkunastu programistów używa popularnej platformy zarządzania kodem źródłowym do przechowywania oprogramowania. Firma tworzy tylko jedno hasło do konta zarządzania całym kodem i udostępnia je wszystkim programistom.

Jeden z programistów używa komputera w domu, aby mógł pracować nad projektem biznesowym, ale nie zdaje sobie sprawy, że jego dziecko próbowało pobrać na ten sam komputer bezpłatną grę. Gra zawierała złośliwe oprogramowanie, a komputer jest od teraz zainfekowany oprogramowaniem kradnącym dane uwierzytelniające. Złośliwe oprogramowanie regularnie zbiera wszelkiego typu dane, wpisywane z klawiatury komputera, wysyłając je z do serwera przestępcy. Ten, obsługując i sprawdzając regularnie informacje od bota rozpoznaje w pewnym momencie dane do platformy zarządzania kodem źródłowym, a następnie loguje się jako administrator tego rozwiązania.

Korzystając z uprawnień administracyjnych i wykorzystując wykradzione dane uwierzytelniające, cyberprzestępca atakuje i infekuje kolejne komputery w sieci lokalnej, a wykorzystując otwarte API chmury – wysyła i instaluje oprogramowanie do kopania kryptowalut na komputerach współpracowników i obciąża bardzo mocno ich komputery, robiąc to przez kilka, maksymalnie kilkanaście dni.

Aby dopełnić obrazu nieszczęścia, pracownicy odkrywają problem pod koniec miesiąca, w momencie gdy platforma przetwarzania w chmurze informuje, że korzystają ze znacznie większej ilości zasobów niż dotychczas i muszą zapłacić za chmurę znacznie więcej niż do tej pory. Przestępca, orientując, się, że komputery są już spalone, inwestuje zarobione do tej pory pieniądze w zakup infrastruktury, bardziej wydajne kopanie i poszukiwanie nowych ofiar. W ten sposób cykl się zamyka i trwa nieprzerwanie.

Bezpieczeństwo chmury, operacji w niej wykonywanych i danych w niej umieszczonych staje się coraz ważniejsze – należy dbać o prawidłową konfigurację ustawień rozwiązań chmurowych tak samo, jak o bezpieczeństwo stacji roboczych na końcu sieci. Jak widać, nie zawsze domyślne ustawienia dostawcy chmury zapewniają wystarczające bezpieczeństwo, a chmura będzie coraz popularniejszym sposobem na przechowywanie danych, szczególnie teraz, w dobie pracy zdalnej.

Wychodząc naprzeciw oczekiwaniom użytkowników chmurowych SOPHOS ma w ofercie nowy produkt – Sophos Cloud Optics – narzędzie umożliwiające skanowanie ruchu wewnątrz chmury, stosowanie wybranych schematów administracyjnych i reagowanie na zagrożenia pojawiające się w chmurze. Po więcej szczegółów zapraszamy pod adresem: https://sophos.com.pl lub na naszą stronę internetową https://suncapital.pl

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

Producent oprogramowania Kerio, firma GFI Software postanowiła wesprzeć sektor małych i średnich przedsiębiorstw udostępniając za darmo na okres 90 dni swoje rozwiązanie firewall i VPN, czyli Kerio Control.

Nie ma szybszego sposobu na umożliwienie pracownikom wykonywania ich obowiązków zdalnie niż ustanowienie połączenia VPN, dzięki któremu mają oni dostęp do zasobów firmowych. Wie o tym producent oprogramowania, GFI Software, który zdecydował się wesprzeć małe i średnie biznesy w czasie pandemii koronawirusa poprzez darmowe udostępnienie użytkownikom zapory sieciowej umożliwiającej nawiązywanie połączeń VPN, czyli Kerio Control. 

Rozwiązanie w swojej podstawowej funkcjonalności udostępniane jest przez 90 dni, natomiast dodatkowe moduły takie jak Kerio Web Filter oraz Kerio Anti-Virus będą dostępne przez 30 dni.

Po upływie 30 dni, użytkownicy, którzy będą chcieli nadal korzystać z modułów Web Filter i Anti-Virus będą mogli wykupić pełną licencję Kerio Control ze 20% zniżką jeśli zakup zostanie zrealizowany do 30 czerwca 2020 roku. Promocja nie obejmuje sprzętu Kerio Control.

Ponadto we wtorek 7 kwietnia 2020 roku o godz. 11:00 producent zaprasza na webinarium pt. „Zapewnij swoim pracownikom zdalnym łączność i ochronę”. Zachęcamy do REJESTRACJI.