מערך הסייבר הודיע היום כי הוא מוצא לנכון לשתף מידע לגבי תקיפת סייבר נרחבת לאור הסכנה הנשקפת ממנה לגופים במשק. מערך הסייבר הלאומי מבקש להודיע על כל עדכון חדש ו/או לא מזוהה.
אחת מצורות הפעולה של הפורץ היא כזו שמאפשרת לו באמצעות החלפת קובץ המשמש לסיוע לנגישות כך שלאחר מכן באמצעות 5 לחיצות על כפתור shift במסך הנעילה של המחשב הוא יקבל גישה לעמדה הנתקפת.
בהודעת המערך וההמלצות עוד נכתב:
עבור מזהי הקבצים (Hashes) – מומלץ לבצע סריקה אקטיבית בתחנות עבודה ובשרתים,
ישירות או באמצעות הגדרת חוקים במערכות AV או EDR.
כמו כן, מצורפות להתרעה גם חתימות YARA אותן מומלץ מאוד להטמיע במערכות האבטחה
הארגוניות המאפשרות זאת וכן בעמדות הקצה והשרתים בארגון.
מומלץ לאתר משתמשי מערכת לא מזוהים ו/או שנוצרו בתקופה האחרונה, בפרט בעלי
הרשאות מנהלן, ולוודא כי יצירתם בוצעה באופן לגיטימי על ידי גורמים מורשים בארגון.
מומלץ לבדוק אם במערכותיכם קיימת משימה מתוזמנת בשם. \Microsoft\Windows\AppID בנתיב ,VerifiedPublisherCertStoreVerify,
אם זוהתה משימה מתוזמנת זו, מומלץ למחקה מרשימת המשימות המתוזמנות. תשומת לב – משימה זו שונה ממשימה בשם VerifiedPublisherCertStoreCheck שהיא משימה של מערכת ההפעלה, אותה אין למחוק.
מומלץ גם כן לבדוק אם במערכותיכם קיימת משימה מתוזמנת בשם ResolutionServer,
.\Microsoft\Windows\WDI בנתיב אם זוהתה משימה מתוזמנת זו, מומלץ למחקה מרשימת המשימות המתוזמנות. תשומת לב
– משימה זו שונה ממשימה בשם ResolutionHost שהיא משימה של מערכת ההפעלה, אותה אין למחוק.
אם קיים חשד שעמדה הותקפה, מומלץ לבדוק את ה-Properties של הקובץ התיאור מופיע File description בשדה כי ולוודא ,c:\windows\system32\sethc.exe
.Accessibility shortcut keys
באם אחד או יותר מהמזהים המצורפים מזוהים במערכותיכם, נבקש לפנות מיידית למערך הסייבר הלאומי.
מערך הסייבר הלאומי יצר שאלון המיועד לספקים, ונועד לאפשר לארגונים הערכה של הסיכונים והבנה של רמת ההגנה של הספק ובמקביל, לאפשר לספקים להבין את הדרישות והבקרות הנדרשות על מנת לעמוד ברמת הגנה נאותה."
את השאלון ניתן למצוא באתר מערך הסייבר הלאומי.
