Atacatorii cibernetici au reușit să obțină acces la sistemele interne ale unei companii în mai puțin de cinci minute, folosind o combinație de tactici de inginerie socială și execuție rapidă de comenzi PowerShell. Atacul a vizat aproximativ 20 de angajați, iar infractorii s-au dat drept personal de suport IT pentru a-i convinge pe aceștia să le acorde acces de la distanță. Odată obținut accesul prin intermediul instrumentului legitim QuickAssist al Windows, atacatorii au descărcat imediat o serie de instrumente malițioase și au stabilit mai multe mecanisme de persistență în sistem.
Metoda de atac a fost una sofisticată, utilizând steganografia pentru a ascunde codul malware într-un fișier imagine JPEG. Codul a fost apoi extras și folosit pentru a descărca și instala un RAT (Remote Access Trojan) sub pretextul unui software de sănătate digitală, numit "NetHealth". Pe lângă instalarea troianului, hackerii au creat sarcini programate pentru a-și menține prezența în sistem și au folosit instrumente legitime de sistem pentru a se deplasa nestingheriți în rețea.
Cel mai alarmant aspect al atacului a fost o interfață falsă de verificare a credențialelor, care imita o fereastră de autentificare a sistemului. Aceasta acoperea întregul ecran, dezactivând funcții critice ale Windows pentru a-l împiedica pe utilizator să o închidă și capturând astfel parolele în format text simplu. Succesul acestui atac subliniază importanța vitală a instruirii utilizatorilor în materie de securitate cibernetică, deoarece o breșă de securitate, oricât de scurtă ar fi, poate avea consecințe devastatoare.
Sfaturi de Protectie
1. Dezactivează Quick Assist pentru utilizatorii standard
Acest pas previne ca hackerii să exploateze uneltele legitime de acces la distanță.
Pasul 1: Apasă Windows + R, tastează gpedit.msc și apasă Enter.
Pasul 2: Navighează la Computer Configuration > Administrative Templates > System > Quick Assist.
Pasul 3: Dă dublu-click pe Turn on Quick Assist.
Pasul 4: Alege opțiunea Disabled și apasă OK.
2. Activează Autentificarea Multi-Factor (MFA)
Previ un atac chiar dacă hackerii reușesc să-ți fure parola.
Pasul 1: Intră în contul tău de utilizator (de exemplu, cel de la Microsoft, Google, platforma de e-mail etc.).
Pasul 2: Caută secțiunea Security sau Sign-in & security.
Pasul 3: Activează Two-Step Verification sau Two-Factor Authentication.
Pasul 4: Alege o metodă de verificare, de preferat o aplicație de autentificare, și urmează instrucțiunile.
3. Setează politica de execuție PowerShell pe "AllSigned"
Astfel, doar scripturile PowerShell semnate digital vor putea rula, blocând codul malițios.
Pasul 1: Apasă Windows + R, tastează gpedit.msc și apasă Enter.
Pasul 2: Navighează la Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell.
Pasul 3: Dă dublu-click pe Turn on Script Execution.
Pasul 4: Alege Enabled, apoi din meniul Execution Policy selectează Allow only signed scripts. Apasă OK.
4. Activează Windows Defender SmartScreen
Acest filtru te va avertiza când încerci să rulezi un fișier descărcat de pe internet, cum ar fi troianul ascuns în JPEG.
Pasul 1: Apasă tasta Windows și scrie Windows Security.
Pasul 2: Deschide Windows Security și dă click pe App & browser control.
Pasul 3: Sub Reputation-based protection, dă click pe Reputation-based protection settings.
Pasul 4: Asigură-te că toate opțiunile de acolo ( Check apps and files, SmartScreen for Microsoft Edge etc.) sunt activate.
5. Dezactivează clipboard-ul partajat pe conexiunile la distanță
Astfel, hackerii nu vor putea manipula clipboard-ul pentru a injecta comenzi precum curl și a descărca malware.
Pasul 1: Apasă Windows + R, tastează gpedit.msc și apasă Enter.
Pasul 2: Navighează la Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource Redirection.
Pasul 3: Dă dublu-click pe Do not allow Clipboard redirection.
Pasul 4: Alege opțiunea Enabled și apasă OK.
6. Activează logarea avansată a PowerShell-ului
Înregistrarea detaliată a fiecărei comenzi poate ajuta la detectarea rapidă a unui atac.
Pasul 1: Apasă Windows + R, tastează gpedit.msc și apasă Enter.
Pasul 2: Navighează la Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell.
Pasul 3: Dă dublu-click pe Turn on PowerShell Script Block Logging.
Pasul 4: Alege Enabled și apasă OK.
7. Verifică și activează securitatea Windows
Asigură-te că antivirusul tău este activ și la zi.
Pasul 1: Apasă tasta Windows și scrie Windows Security.
Pasul 2: Deschide Windows Security și verifică secțiunea Virus & threat protection.
Pasul 3: Asigură-te că Real-time protection este On și că definițiile de viruși sunt actualizate.
Pasul 4: Rulează o scanare completă a sistemului.
8. Actualizări automate de Windows
Patch-urile de securitate sunt vitale pentru a proteja sistemul.
Pasul 1: Apasă tasta Windows și scrie Check for updates.
Pasul 2: Deschide Check for updates și asigură-te că Windows Update este activ și rulează actualizări automat.
9. Interzice instalarea de software de către utilizatorii standard
Blochează instalarea de aplicații necunoscute, precum troianul "NetHealth".
Pasul 1: Apasă Windows + R, tastează gpedit.msc și apasă Enter.
Pasul 2: Navighează la Computer Configuration > Administrative Templates > Windows Components > Windows Installer.
Pasul 3: Dă dublu-click pe Prohibit user installs.
Pasul 4: Alege Enabled și apasă OK.
10. Folosește un cont de utilizator standard, nu administrator
Acest lucru reduce masiv privilegiile unui atacator, chiar dacă reușește să obțină acces.
Pasul 1: Apasă tasta Windows și scrie Manage your account.
Pasul 2: Intră în Your info și dă click pe Family & other users.
Pasul 3: Alege contul tău de utilizator și, dacă este Administrator, dă click pe Change account type și setează-l ca Standard User.
Pasul 4: Folosește un cont de administrator separat doar pentru instalări și modificări de sistem.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro