Vlákno názorů k článku
Knihkupectví Kosmas ochromil kyberútok, neodbavuje objednávky od RRŠ - Dost často RPC, respektive spuštění kódu na vzdáleném...

Dost často RPC, respektive spuštění kódu na vzdáleném počítači. Pokud se podaří ovládnout (síťový) administrátorský účet, jde o nejjednodušší možnost. Stačí pár vteřin a z počítačové sítě máte armádu zombií.

Incident response je moje náplň práce již několik let v top nadnárodní společnosti. V praxi je to z drtivé většiny případů naprosto žalostné zabezpečení. Chybí i úplně elementární základy. Velmi často si říkám, jak je možné, že ten incident stal až teď a ne už před mnoha lety. Běžně jsou to naprosto směšná hesla i pro admin účty (domain admin), žádné omezení na to, odkud lze admin účty používat, povolené kde jaké zastaralé a nebezpečné protokoly, admin účty používané všude i pro běžnou práci.

V drtivé většině případů útočníci nepotřebují nikde nic prolamovat nebo hledat zero day zranitelnosti. Oni se obvykle prostě přihlásí. A lateral movement je pak prosté RDP mezi zařízeními.

Problém je, že IT je obvykle velmi podfinancované. Zkušených ajťáků je málo a jsou drazí. Takže firmy najmou kde koho. A pak to podle toho vypadá, kdy správci Active Directory kolikrát nemají ani základní znalosti Active Directory.

Jakým způsobem se teď ransomware šíří mezi počítači v LAN? Je to pořád SMB, RDP, NetBIOS?