Xử lý tấn công mạng vào hệ thống máy chủ thông qua dịch vụ Remote Desktop

Thứ năm - 27/06/2019 20:54

Xử lý tấn công mạng vào hệ thống máy chủ thông qua dịch vụ Remote Desktop

DIC - Ngày 26/6/2019 Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Điện Biên (Sở Thông tin và Truyền thông) đã xử lý sự cố an toàn thông tin mạng tại Sở Giao thông Vận tải.
/uploads/news/2019_06/123.jpg Ảnh: Trọng Nghĩa. Sau khi rà quét hệ thống mạng máy tính của Sở Giao thông Vận tải phát hiện Máy chủ cài đặt hệ thống phần mềm Hồ sơ công việc (TD-Office, eOffice) bị nhiễm Virus mã hóa đòi tiền chuộc. Toàn bộ dữ liệu của 02 phần mềm Hồ sơ công việc bị Hacker mã hóa toàn bộ (TD-Office 35GB, eOffice 40GB). Đây là biến thể mới của họ Ransomware Phobos được ghi nhận từ cuối tháng 5/2019 hiện chưa có công cụ giải mã ngoài cách gửi tiền chuộc (Hacker đòi chuộc dữ liệu từ 500 đến 1500USD). Nội dung tin nhắn tin tặc để lại như sau: "!!! All of your files are encrypted!!! To decrypt them sent e-Mail to this address: ban.out@foxmail.com. If we don't answer in 48h, sent e-mail to this address: repairfiles@out@foxmail.com. If there is no response f-rom our mail, you can intall the jabber client and write to us in support of ban.out@xmpp.jp" Nguyên nhân dẫn đến sự cố là do Máy chủ của Sở Giao thông Vận tải cài đặt hệ điều hành Windows Server 2003 Hệ điều hành này đã không còn được hỗ trợ các tính năng bảo mật từ ngày 17/4/2015, mật khẩu truy cập Máy chủ yếu và tồn tại https://vsec.com.vn/vi/tin-tuc/canh-bao-lo-hong-cve-2019-0708-rdp-remote-code-execution.html lỗ hổng CVE-2019-0708 (RDP Remote Code Execution là một trong những lỗ hổng thuộc Remote Desktop) rất nghiêm trọng đang bị Hacker khai thác qua lỗ hổng này. Ngoài ra Máy chủ không cài đặt bất kỳ phần mềm phòng chống Virus, mã độc nào. Đội ứng cứu sự cố an toàn thông tin mạng tỉnh đã tiến hành khoanh vùng máy chủ bị nhiễm, lấy mẫu mã độc gửi cho các đơn vị chuyên môn hỗ trợ để tìm hướng phục hồi dữ liệu, Cài đặt phần mềm diệt Virus Bkav endpoit tại các máy trạm phát hiện bị rò quét. Cập nhật các bản vá lỗ hổng bảo mật cho hệ thống máy tính của đơn vị. Qua đây cũng khuyến nghị các đơn vị nên sử dụng những hệ điều hành Windows Server 2012 trở lên để có được những bản cập nhập an toàn cho máy chủ, đồng thời trang bị các phần mềm phòng chống virus cho máy chủ, sao lưu dữ liệu định kỳ để tránh rủi ro khi Hacker tấn công. Trước đó, Ngày 7/3/2019 Cục An toàn Thông tin - Bộ Thông tin và Truyền thông đã cảnh báo hiện nay đang có một chiến dịch tấn công vào các máy chủ tại Việt Nam. Tất cả các máy chủ tại Việt Nam đang mở cổng Remote Desktop đều là mục tiêu tấn công.

Tác giả: Tin: Mai Dũng, ảnh: Trọng nghĩa

Những tin mới hơn

Những tin cũ hơn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây