Mokymai

NKSC įspėja apie suaktyvėjusias paskirstyto atsisakymo aptarnauti kibernetines atakas (DDoS)

2020-11-27

Nacionalinis kibernetinio saugumo centras, atsižvelgdamas į gaunamus pranešimus, atkreipia dėmesį į besitęsiančias paskirstyto atsisakymo aptarnauti kibernetines atakas, prieš kurias prašoma sumokėti išpirką (angl. Ransom Distributed Denial of Service). 

Pagrindiniai tokių atakų požymiai:
  1. Gaunamas išpirkos reikalaujantis laiškas, neva nuo pasaulinio lygio grupuočių Lazarus Group, Fancy Bear, Armada Collective ir pan. Laiškai siunčiami iš @protonmail.com elektroninių paštų;
  2. Nusiuntus žinutę, atliekama bandomoji ataka. Kai kuriais atvejais taikomasi į vieną IP adresą, kitais – į keletą. Atakų trukmė ir dydis dažniausiai būna skirtingas;
  3. Atakų intensyvumas svyruoja apie 300 Gbit/s;
  4. Remiantis Lietuvoje fiksuojamais atvejais bei bendradarbiaujant su Europos CSIRT komandomis, nustatyta, kad daugiausiai taikomasi į finansinio sektoriaus ir interneto paslaugų tiekėjų DNS infrastruktūrą;
  5. Atakos vykdomos: „ARMS, DNS Flood, GRE Protocol Flood, SNMP Flood, SYN Flood ir WSDiscovery Flood“ metodais, taip pat „UDP, CLDAP, DNS, WS-Discovery, GRE, NTP, SNMP“ protokolais.
Rekomenduojame stebėti infrastruktūrą dėl anomalijų ir nemokėti išpirkos, nes tai negarantuoja, kad Jūsų įmonė bus apsaugota. 

Rekomendacijos
  • Pasirūpinkite DDoS apsaugos paslaugomis, kurios aptiktų neįprastus srautus;
  • Apsvarstykite galimybę blokuoti UDP paketus, kurių dydis viršija 468 bitus ir kurie atkeliauja iš prievadų (angl. Ports), dažnai naudojamų stiprinimo atakoms vykdyti (pvz. 1-1023, 1194, 1434, 1900, 3074, 3283, 3702, 5683, 11211, 17185, 20800, 27015, 30718, 33848, 37810, 47808). Turėkite omenyje, kad paketų dydžio ribojimas gali daryti įtaką tinklo funkcionavimui, todėl prieš tai būtina ištestuoti limitus;
  • Stebėkite gaunamus el. laiškus, reikalaujančius išpirkos. Tam galima naudoti tam tikrus požymius, pvz. “ddos, ransom, armada” ir kt.;
  • Tinklo ugniasienėje blokuokite neautorizuotus IP adresus ir išjunkite prievadų peradresavimą (angl. Port forwarding);
  • Pasitarkite su savo interneto paslaugų teikėju, kaip galima būtų kontroliuoti grėsmę, o nutikus tokiam kibernetiniam incidentui – kaip atstatyti tinklą, išsaugoti įrodymus (angl. Forensic data);
  • Užtikrinkite, kad visi tinklo įrenginiai būtų savalaikiai atnaujinami. 

Išpirkos reikalaujančio laiško pavyzdžiai

Pavyzdys Nr.1



Pavyzdys Nr. 2

Visi pranešimai