- Offene Verwaltung
Der Sektor Taula del Tercer entwickelt in Zusammenarbeit mit der AOC den ersten katalanischen Index zur digitalen Kluft
L 'Agentur für Cybersicherheit von Katalonien hat in den letzten Wochen eine Zunahme von Ransomware-Vorfällen festgestellt, die sich gegen Gemeinden im gesamten Gebiet richteten. Diese Art von Angriff zielt darauf ab, die Systeme des Unternehmens durch die Verschlüsselung seiner Informationen zu blockieren und ein Lösegeld für deren Zurücksetzung oder die Wiederherstellung der Daten zu fordern. Dieses Lösegeld ist in der Regel hoch und wird in Kryptowährungen (normalerweise Bitcoin) verlangt.
Der jüngste „Modus Operandi“ zur Durchführung dieser Angriffe besteht in manuellen Eingriffen in die IT-Systeme der Stadtverwaltung. Im Allgemeinen nutzen sie den ungeschützten Zugang zum Internet und zu Remote-Arbeitssystemen (Telearbeit) wie VPNs, RDP oder Citrix, indem sie zuvor gestohlene Anmeldeinformationen verwenden oder Schwachstellen in denselben Technologien ausnutzen. Sobald sie im internen Netzwerk angekommen sind, stehlen sie bei Bedarf privilegierte Benutzer mithilfe von Malware, um die ultimative Ransomware vom Domänencontroller selbst oder den Virtualisierungsservern zu verbreiten.
Aus diesen Gründen sollten folgende Hauptempfehlungen angewendet werden:
- Es wird empfohlen, dieVerwenden Sie die Multi-Faktor-Authentifizierung (MFA) auf öffentlich zugängliche Systeme und Anwendungen, um die Möglichkeit zu verringern, dass Angreifer zunächst Zugriff auf das Netzwerk erhalten, indem sie zuvor kompromittierte Anmeldeinformationen verwenden.
- Sensibilisierung der Mitarbeiter für Cybersicherheit erschwert es Angreifern, Zugriff auf die Netzwerke von Organisationen zu erhalten. Akteure sind weniger in der Lage, Ransomware einzusetzen, wenn sie nicht in das Netzwerk gelangen können.
- Es ist auch unerlässlich, um alle Systeme und Anwendungen auf dem neuesten Stand zu halten, insbesondere solche, die öffentlich zugänglich sind (VPN-Dienste, Maschinenbetriebssysteme im Zusammenhang mit Telearbeit usw.).
Trotz der Anwendung der oben genannten vorbeugenden Maßnahmen ist kein Netzwerk zu 100 % sicher. Sobald sich Cyberkriminelle Zugang zum Netzwerk verschafft haben, gibt es eine Reihe von Best Practices, die eine laterale Bewegung und die Eskalation von Privilegien erschweren. Das Ziel von Angreifern besteht darin, so viele Systeme wie möglich zu kontrollieren. Dies erreichen sie am häufigsten über ein Domänenadministratorkonto oder über den Domänencontroller selbst.
- Nur Mitarbeiter der IKT-Verwaltung müssen über diese verfügenZugriff auf Administratorkonten. Daher muss die Anzahl der Administratorkonten unter Anwendung des Prinzips der geringsten Rechte so gering wie möglich gehalten werden, um die Möglichkeit zu verringern, dass ein Angreifer an ein privilegiertes Konto gelangt.
- Darüber hinaus das Personal der IKT-Verwaltung Sie sollten sich nicht mit Administratorkonten anmelden an die Computer und Arbeitsplätze anderer Benutzer oder zur gemeinsamen Nutzung. Jeder Computer in der Organisation könnte kompromittiert werden und der Angreifer könnte die darauf verwendeten Anmeldeinformationen extrahieren (z. B. durch Verwendung von Mimikatz) und sich Zugriff auf ein Administratorkonto verschaffen.
- Eine Strategie von Netzwerksegmentierung ist eine weitere gute Praxis, die die seitliche Bewegung behindern würde.
Schließlich und als goldene Regel beim Umgang mit Ransomware-Bedrohungen ist es von größter Bedeutung, über eine gute Backup-Strategie zu verfügen.
- Die Auswirkungen eines erfolgreichen Ransomware-Angriffs werden dadurch erheblich verringertein aktuelles, vom Netzwerk isoliertes Backup (mit Luftspalt) oder an einem „externen“ Standort. In diesem Szenario kommt es wahrscheinlich nicht zum totalen Informationsverlust oder zu den hohen finanziellen Kosten für die Zahlung des Lösegelds, sondern eher zu einer vorübergehenden Nichtverfügbarkeit des Dienstes, während die Infektion unter Kontrolle ist und die Daten wiederhergestellt werden.
Die Agentur für Cybersicherheit Kataloniens verfügt dank CATALONIA-CERT über eine hohe Reaktionsfähigkeit, die es ihr ermöglicht, koordiniert und zeitnah zu handeln, um die Auswirkungen von Cybersicherheitsvorfällen im gesamten Gebiet zu minimieren. Im Falle eines Vorfalls kontaktieren Sie uns bitte telefonisch unter 900 112 444 oder per E-Mail unter der E-Mail-Adresse cert@ciberseguretat.cat.
Im vergangenen Jahr hat die Agentur für Cybersicherheit Kataloniens einen speziellen Cybersicherheitsdienst für die lokale Verwaltung definiert, der darauf abzielt, neue Schutz- und Reaktionsfähigkeiten angesichts von Cybersicherheitsbedrohungen und -vorfällen zu bieten und so Angriffe wie die, die Gegenstand dieser Pressemitteilung sind, zu verhindern. Es wird erwartet, dass dieser Dienst zu Beginn des zweiten Quartals 2021 betriebsbereit sein wird, jedoch wurde das folgende Postfach erstellt seguretta.aall@ciberseguretat.cat um etwaige Zweifel oder Fragen dazu auszuräumen.