HTCinside


Ransomware operatori pēc uzbrukuma slēpjas jūsu tīklā

Kad uzņēmums piedzīvo aransomware uzbrukums, daudzi uzskata, ka uzbrucēji ātri izvieto un pamet izspiedējvīrusu, lai viņi netiktu pieķerti. Diemžēl realitāte ir ļoti atšķirīga, jo apdraudējuma dalībnieki tik ātri neatsakās no kāda resursa, lai būtu tik smagi strādājuši, lai tos kontrolētu.

Tā vietā izpirkuma programmatūras uzbrukumi tiek veikti katru dienu, sākot ar izpirkuma programmatūras operatora ienākšanu tīklā.

Šis pārkāpums ir saistīts ar atklātiem attālās darbvirsmas pakalpojumiem, VPN programmatūras ievainojamību vai ļaunprātīgas programmatūras, piemēram, TrickBot, Dridex un QakBot, attālo piekļuvi.

Kad viņiem ir piekļuve, viņi izmanto tādus rīkus kā Mimikatz, PowerShell Empire, PSExec un citus, lai apkopotu savienojuma informāciju un izplatītu to sāniski visā tīklā.

Kad viņi piekļūst datoriem tīklā, viņi izmanto šos akreditācijas datus, lai no rezerves ierīcēm un serveriem nozagtu nešifrētus failus, pirms notiek izspiedējvīrusa uzbrukums.

Pēc uzbrukuma upuri ziņoja BleepingComputer, ka izspiedējvīrusu operatori nav redzami, taču viņu tīkls joprojām ir apdraudēts.
Uzskats ir tālu no patiesības, par ko liecina nesenais Maze Ransomware operatoru uzbrukums.

Lasīt -Pētnieki uzlauza Siri, Alexa un Google sākumlapu, spīdinot viņiem lāzerus

Maze turpināja zagt failus pēc izspiedējvīrusa uzbrukuma

Maze Ransomware operatori savā datu noplūdes vietnē nesen paziņoja, ka ir uzlauzuši ST Engineering meitasuzņēmuma VT San Antonio Aerospace (VT SAA) tīklu. Šīs noplūdes biedējošākais ir tas, ka Maze ir izlaidusi dokumentu, kurā ietverts upura IT nodaļas ziņojums par viņa izspiedējvīrusa uzbrukumu.

Nozagtais dokuments liecina, ka Maze joprojām atradās savā tīklā un turpināja spiegot uzņēmuma nozagtos failus, kamēr turpinājās uzbrukuma izmeklēšana. Šāda nepārtraukta piekļuve šāda veida uzbrukumiem nav nekas neparasts. McAfee galvenais inženieris un kiberizmeklēšanas vadītājs Džons Fokers

pastāstīja BleepingComputer, ka daži uzbrucēji lasīja upuru e-pastus, kamēr notiek sarunas par izspiedējvīrusu.
“Mēs esam informēti par gadījumiem, kad izspiedējvīrusa atskaņotāji palika upura tīklā pēc izspiedējvīrusa izvietošanas. Šajos gadījumos uzbrucēji šifrēja upura dublējumus pēc sākotnējā uzbrukuma vai sarunu laikā. Protams, uzbrucējs joprojām varēja tai piekļūt un lasīt upura e-pastu.

Lasīt -Hakeri izmanto bailes no koronavīrusa, lai maldinātu lietotājus noklikšķināt uz ļaunprātīgiem e-pastiem

Eksperta padoms

Pēc izspiedējvīrusa uzbrukuma atklāšanas uzņēmumam vispirms ir jāslēdz savs tīkls un tajā strādājošie datori. Šīs darbības novērš nepārtrauktu datu šifrēšanu un liedz uzbrucējiem piekļuvi sistēmai.
Kad tas būs pabeigts, uzņēmumam vajadzētu piezvanīt kiberdrošības pakalpojumu sniedzējam, lai veiktu rūpīgu uzbrukuma izmeklēšanu un visu iekšējo un publisko ierīču skenēšanu.

Šī skenēšana ietver uzņēmuma ierīču skenēšanu, lai identificētu pastāvīgas infekcijas, ievainojamības, vājas paroles un ļaunprātīgus rīkus, ko atstājuši izspiedējvīrusa operatori.

Cietušā kiberapdrošināšana daudzos gadījumos sedz lielāko daļu remontdarbu un izmeklēšanas.

Fokers un Vitālijs Kremezs, Advanced Intel priekšsēdētājs, arī sniedza dažus papildu padomus un stratēģijas, lai labotu uzbrukumu.

“Nozīmīgākie korporatīvie izpirkuma programmatūras uzbrukumi gandrīz vienmēr ir saistīti ar pilnīgu upura tīkla kompromitēšanu, sākot no rezerves serveriem līdz domēna kontrolleriem. Pilnībā kontrolējot sistēmu, apdraudējuma dalībnieki var viegli atspējot aizsardzību un ieviest savu izspiedējvīrusu.

“Incidentu reaģēšanas (IR) komandām, kas ir pakļautas tik dziļiem traucējumiem, ir jāpieņem, ka uzbrucējs joprojām atrodas tīklā, līdz viņa vaina nav pierādīta. Galvenokārt tas nozīmē izvēlēties citu saziņas kanālu (nav redzams apdraudējuma dalībniekam), lai apspriestu notiekošos IR centienus. ”

“Ir svarīgi atzīmēt, ka uzbrucēji jau ir skenējuši upura Active Directory, lai noņemtu visus atlikušos aizmugures kontus. Viņiem ir jāveic pilna AD skenēšana, ”BleepingComputer sacīja Fokers.

Kremez arī ierosināja atsevišķu drošu sakaru kanālu un slēgtu krātuves kanālu, kurā var glabāt ar aptauju saistītos datus.

Uztveriet izspiedējvīrusu uzbrukumus kā datu pārkāpumus, pieņemot, ka uzbrucēji joprojām var būt tīklā, tāpēc upuriem jāstrādā no apakšas uz augšu, jāmēģina iegūt kriminālistikas pierādījumus, kas apstiprina vai atceļ hipotēzi. Tas bieži ietver pilnīgu tīkla infrastruktūras kriminālistikas analīzi, koncentrējoties uz priviliģētiem kontiem. Pārliecinieties, ka jums ir biznesa nepārtrauktības plāns, lai kriminālistikas izvērtēšanas laikā būtu atsevišķs drošs uzglabāšanas un sakaru kanāls (atšķirīga infrastruktūra), ”sacīja Kremezs.

No apakšas uz augšu mēģiniet iegūt kriminālistikas pierādījumus, kas apstiprina vai atceļ hipotēzi. Tas bieži ietver pilnīgu tīkla infrastruktūras kriminālistikas analīzi, koncentrējoties uz priviliģētiem kontiem. Pārliecinieties, ka jums ir biznesa nepārtrauktības plāns, lai kriminālistikas izvērtēšanas laikā būtu atsevišķs drošs uzglabāšanas un sakaru kanāls (atšķirīga infrastruktūra), ”sacīja Kremezs.

Kremez atklāja, ka ir ieteicams pārdomāt ierīces neaizsargātā tīklā. Tomēr ar to var nepietikt, jo uzbrucējiem, visticamāk, būs pilna piekļuve tīkla akreditācijas datiem, ko var izmantot citam uzbrukumam.
“Upuriem ir iespēja pārinstalēt mašīnas un serverus. Tomēr jums jāapzinās, ka noziedznieks, iespējams, jau ir nozadzis akreditācijas datus. Ar vienkāršu atkārtotu instalēšanu var nepietikt. 'Kremezs turpināja.

Galu galā ir svarīgi pieņemt, ka uzbrucēji, visticamāk, turpinās uzraudzīt upura kustības pat pēc uzbrukuma.

Šī noklausīšanās var ne tikai kavēt bojātā tīkla attīrīšanu, bet arī ietekmēt sarunu taktiku, ja uzbrucēji izlasīs upura e-pastu un paliek priekšā.