HTCinside


Išpirkos reikalaujančių programų operatoriai po atakos slepiasi jūsų tinkle

Kai įmonė patiria aransomware ataka, daugelis mano, kad užpuolikai greitai įdiegia ir palieka išpirkos reikalaujančią programinę įrangą, todėl jų neužklumpa. Deja, realybė yra labai skirtinga, nes grėsmės veikėjai neatsisako resurso taip greitai, kad taip sunkiai dirbo, kad jį suvaldytų.

Vietoj to, išpirkos reikalaujančios programos atakos vyksta kiekvieną dieną, pradedant nuo išpirkos reikalaujančios programos operatoriaus įėjimo į tinklą.

Šis pažeidimas atsirado dėl atskleistų nuotolinio darbalaukio paslaugų, VPN programinės įrangos spragų arba kenkėjiškų programų, pvz., TrickBot, Dridex ir QakBot, nuotolinės prieigos.

Gavę prieigą, jie naudoja tokius įrankius kaip „Mimikatz“, „PowerShell Empire“, „PSExec“ ir kitus, kad rinktų ryšio informaciją ir paskirstytų ją tinkle.

Kai jie pasiekia kompiuterius tinkle, jie naudoja šį kredencialą, kad pavogtų nešifruotus failus iš atsarginių įrenginių ir serverių prieš įvykstant išpirkos reikalaujančios programos atakai.

Po atakos aukos pranešė „BleepingComputer“, kad išpirkos reikalaujančių programų operatorių nematyti, tačiau vis tiek jų tinklui gresia pavojus.
Tikėjimas yra toli nuo tiesos, ką liudija neseniai įvykusi Maze Ransomware operatorių ataka.

Skaityti –Tyrėjai nulaužė „Siri“, „Alexa“ ir „Google Home“, šviečiant juos lazeriais

Po išpirkos programinės įrangos atakos labirintas toliau vogė failus

„Maze Ransomware“ operatoriai neseniai paskelbė savo duomenų nutekėjimo svetainėje, kad įsilaužė į „ST Engineering“ dukterinės įmonės „VT San Antonio Aerospace“ (VT SAA) tinklą. Baisiausias dalykas dėl šio nutekėjimo yra tai, kad Maze paskelbė dokumentą, kuriame yra aukos IT skyriaus ataskaita apie jo išpirkos reikalaujančios programos ataką.

Pavogtas dokumentas rodo, kad Maze'as vis dar buvo savo tinkle ir toliau šnipinėjo pavogtus bendrovės failus, kol tęsėsi išpuolio tyrimas. Ši nuolatinė prieiga nėra neįprasta tokio tipo atakoms. „McAfee“ vyriausiasis inžinierius ir kibernetinių tyrimų vadovas Johnas Fokkeris

„BleepingComputer“ sakė, kad kai kurie užpuolikai skaitė aukų el. laiškus, kol vyko derybos dėl išpirkos reikalaujančių programų.
„Žinome apie atvejus, kai išpirkos reikalaujančios programos žaidėjai liko aukos tinkle po to, kai įdiegė išpirkos reikalaujančią programinę įrangą. Tokiais atvejais užpuolikai užšifravo aukos atsargines kopijas po pirminės atakos arba per derybas. Žinoma, užpuolikas vis tiek galėjo prieiti prie jo ir perskaityti aukos el.

Skaityti –Piratai naudojasi koronaviruso baime, norėdami apgauti vartotojus spustelėti kenkėjiškus el

Eksperto patarimas

Aptikusi išpirkos programinės įrangos ataką, įmonė pirmiausia turi išjungti savo tinklą ir jame veikiančius kompiuterius. Šie veiksmai užkerta kelią nuolatiniam duomenų šifravimui ir užkerta kelią užpuolikams prieiti prie sistemos.
Kai tai bus baigta, įmonė turėtų paskambinti kibernetinio saugumo paslaugų teikėjui, kad šis atliktų išsamų atakos tyrimą ir visų vidinių ir viešųjų įrenginių nuskaitymą.

Šis nuskaitymas apima įmonės įrenginių nuskaitymą, siekiant nustatyti nuolatines infekcijas, pažeidžiamumą, silpnus slaptažodžius ir kenkėjiškas priemones, kurias paliko išpirkos reikalaujančių programų operatoriai.

Daugeliu atvejų aukos kibernetinis draudimas apima didžiąją dalį remonto ir tyrimo.

Fokker ir Vitali Kremez, Advanced Intel pirmininkas, taip pat pateikė keletą papildomų patarimų ir strategijų, kaip ištaisyti ataką.

„Svarbiausios įmonių išpirkos reikalaujančios programinės įrangos atakos beveik visada apima visišką aukos tinklo, nuo atsarginių serverių iki domeno valdiklių, kompromisą. Visiškai valdydami sistemą, grėsmės veikėjai gali lengvai išjungti gynybą ir įdiegti išpirkos reikalaujančią programinę įrangą.

„Reagavimo į incidentus (IR) komandos, kurioms būdingi tokie dideli trukdžiai, turi manyti, kad užpuolikas vis dar yra tinkle, kol jo kaltė neįrodyta. Iš esmės tai reiškia, kad reikia pasirinkti kitą komunikacijos kanalą (nematomą grėsmės veikėjui), kad būtų galima aptarti vykstančias IR pastangas. “

„Svarbu pažymėti, kad užpuolikai jau nuskenavo aukos Active Directory, kad pašalintų visas likusias užpakalinių durų paskyras. Jie turi atlikti visą AD nuskaitymą“, – „BleepingComputer“ sakė Fokker.

Kremez taip pat pasiūlė atskirą saugaus ryšio kanalą ir uždarą saugojimo kanalą, kuriame būtų galima saugoti su apklausa susijusius duomenis.

Išpirkos reikalaujančios programos atakas vertinkite kaip duomenų pažeidimus, darant prielaidą, kad užpuolikai vis dar gali būti tinkle, todėl aukos turėtų dirbti iš apačios į viršų, bandyti gauti teismo ekspertizės įrodymus, patvirtinančius arba paneigiančius hipotezę. Ji dažnai apima visą tinklo infrastruktūros teismo ekspertizę, daugiausia dėmesio skiriant privilegijuotoms paskyroms. Įsitikinkite, kad turite verslo tęstinumo planą, kad atlikdami teismo ekspertizę turėtumėte atskirą saugų saugojimo ir ryšio kanalą (skirtingą infrastruktūrą), – sakė Kremezas.

Iš apačios į viršų pabandykite gauti teismo medicinos įrodymų, patvirtinančių arba paneigiančių hipotezę. Ji dažnai apima visą tinklo infrastruktūros teismo ekspertizę, daugiausia dėmesio skiriant privilegijuotoms paskyroms. Įsitikinkite, kad turite verslo tęstinumo planą, kad atlikdami teismo ekspertizę turėtumėte atskirą saugų saugojimo ir ryšio kanalą (skirtingą infrastruktūrą), – sakė Kremezas.

Kremez nustatė, kad rekomenduojama pergalvoti įrenginius pažeidžiamame tinkle. Vis dėlto to gali nepakakti, nes užpuolikai greičiausiai turės visišką prieigą prie tinklo kredencialų, kuriuos galima panaudoti kitai atakai.
„Aukos turi galimybę iš naujo įdiegti mašinas ir serverius. Tačiau turėtumėte žinoti, kad nusikaltėlis jau galėjo pavogti įgaliojimus. Paprasto iš naujo įdiegimo gali nepakakti. “ Kremezas tęsė.

Galiausiai labai svarbu manyti, kad užpuolikai greičiausiai ir toliau stebės aukos judesius net po užpuolimo.

Šis pasiklausymas gali ne tik trukdyti išvalyti pažeistą tinklą, bet ir paveikti derybų taktiką, jei užpuolikai perskaitys aukos el. laišką ir išliks priekyje.