HTCinside
Když společnost zažívá aransomwarový útok, mnozí věří, že útočníci rychle nasadí a opustí ransomware, takže nebudou dopadeni. Realita je bohužel velmi odlišná, protože aktéři hrozby se nevzdávají zdroje tak rychle, že tak tvrdě pracovali na jeho kontrole.
Místo toho útoky ransomwaru probíhají každý měsíc v průběhu času, počínaje vstupem provozovatele ransomwaru do sítě.
Toto porušení je způsobeno odhalenými službami vzdálené plochy, zranitelností v softwaru VPN nebo vzdáleným přístupem malwaru, jako je TrickBot, Dridex a QakBot.
Jakmile získají přístup, použijí nástroje jako Mimikatz, PowerShell Empire, PSExec a další ke shromažďování informací o připojení a jejich laterálnímu šíření po síti.
Když přistupují k počítačům v síti, použijí toto pověření k odcizení nešifrovaných souborů ze záložních zařízení a serverů, než dojde k útoku ransomware.
Poté, co k útoku došlo, oběti nahlásily BleepingComputer, že operátoři ransomwaru nejsou vidět, ale přesto je jejich síť ohrožena.
Víra je daleko od pravdy, jak dokazuje nedávný útok operátorů Maze Ransomware.
Přečtěte si -Výzkumníci hackli Siri, Alexu a Google Home tím, že na ně posvítili lasery
Provozovatelé Maze Ransomware nedávno na svých stránkách o úniku dat oznámili, že se nabourali do sítě dceřiné společnosti ST Engineering s názvem VT San Antonio Aerospace (VT SAA). Na tomto úniku je děsivé, že Maze zveřejnil dokument obsahující zprávu IT oddělení oběti o jeho ransomwarovém útoku.
Ukradený dokument ukazuje, že Maze byl stále ve své síti a pokračoval ve špehování ukradených souborů společnosti, zatímco vyšetřování útoku pokračovalo. Tento nepřetržitý přístup není u tohoto typu útoku neobvyklý. Hlavní inženýr McAfee a manažer kybernetického vyšetřování John Fokker
řekl BleepingComputer, že někteří útočníci čtou e-maily obětí, zatímco probíhají jednání o ransomwaru.
„Jsme si vědomi případů, kdy hráči ransomwaru zůstali v síti oběti po nasazení svého ransomwaru. V těchto případech útočníci zašifrovali zálohy oběti po počátečním útoku nebo během jednání, která za sebou zanechali. Útočník k němu samozřejmě mohl stále přistupovat a číst e-mail oběti.
Přečtěte si -Hackeři využívají strach z koronaviru, aby přiměli uživatele, aby klikali na škodlivé e-maily
Po zjištění ransomwarového útoku musí společnost nejprve vypnout svou síť a počítače, které na ní běží. Tyto akce zabraňují nepřetržitému šifrování dat a odmítají útočníkům přístup do systému.
Jakmile to bude dokončeno, společnost by měla zavolat poskytovatele kybernetické bezpečnosti, aby provedl důkladné vyšetření útoku a skenování všech interních a veřejných zařízení.
Toto skenování zahrnuje skenování zařízení společnosti za účelem zjištění přetrvávajících infekcí, zranitelností, slabých hesel a škodlivých nástrojů, které po sobě zanechali operátoři ransomwaru.
Kybernetické pojištění oběti pokrývá většinu oprav a vyšetřování v mnoha případech.
Fokker a Vitali Kremez, předseda společnosti Advanced Intel, také poskytli několik dalších tipů a strategií k nápravě útoku.
„Nejvýznamnější podnikové útoky ransomwaru téměř vždy zahrnují kompletní kompromitaci sítě oběti, od záložních serverů po řadiče domény. S plnou kontrolou nad systémem mohou aktéři hrozeb snadno deaktivovat obranu a implementovat svůj ransomware.
„Týmy reakce na incidenty (IR), které jsou vystaveny tak hlubokému rušení, musí předpokládat, že útočník je stále na síti, dokud nebude prokázána vina. Především to znamená zvolit jiný komunikační kanál (neviditelný pro aktéra hrozby) k projednání probíhajících IR úsilí. “
„Je důležité poznamenat, že útočníci již zkontrolovali Active Directory oběti, aby odstranili zbývající účty typu backdoor. Musí provést úplný AD sken,“ řekl Fokker BleepingComputer.
Kremez také navrhl samostatný bezpečný komunikační kanál a uzavřený úložný kanál, kde lze ukládat data související s průzkumem.
Zacházejte s útoky ransomwaru jako s narušením dat, za předpokladu, že útočníci mohou být stále v síti, takže oběti by měly pracovat zdola nahoru a pokusit se získat forenzní důkazy, které hypotézu potvrdí nebo vyvrátí. Často zahrnuje úplnou forenzní analýzu síťové infrastruktury se zaměřením na privilegované účty. Ujistěte se, že máte plán kontinuity podnikání, abyste měli během forenzního hodnocení samostatný bezpečný úložný a komunikační kanál (různou infrastrukturu), “řekl Kremez.
Pokuste se zdola nahoru získat forenzní důkazy, které hypotézu potvrdí nebo vyvrátí. Často zahrnuje úplnou forenzní analýzu síťové infrastruktury se zaměřením na privilegované účty. Ujistěte se, že máte plán kontinuity podnikání, abyste měli během forenzního hodnocení oddělené zabezpečené úložiště a komunikační kanál (různou infrastrukturu), “řekl Kremez.
Kremez zjistil, že se doporučuje reimaginace zařízení ve zranitelné síti. Přesto to nemusí stačit, protože útočníci pravděpodobně budou mít plný přístup k síťovým přihlašovacím údajům, které lze použít pro další útok.
„Oběti mají potenciál přeinstalovat stroje a servery. Měli byste si však být vědomi toho, že zločinec již mohl odcizit přihlašovací údaje. Jednoduchá reinstalace nemusí stačit. “ pokračoval Kremez.
Nakonec je nezbytné předpokládat, že útočníci budou pravděpodobně i po útoku nadále sledovat pohyby oběti.
Toto odposlouchávání by mohlo nejen bránit vyčištění poškozené sítě, ale mohlo by také ovlivnit vyjednávací taktiku, pokud si útočníci přečtou e-mail oběti a zůstanou napřed.