HTCinside


Operaterji izsiljevalske programske opreme se po napadu skrijejo v vašem omrežju

Ko podjetje doživlja anapad z izsiljevalsko programsko opremo, mnogi verjamejo, da se napadalci hitro namestijo in zapustijo izsiljevalsko programsko opremo, da jih ne ujamejo. Na žalost je realnost zelo drugačna, saj akterji grožnje ne obupajo nad virom tako hitro, da so tako trdo delali, da bi ga nadzorovali.

Namesto tega se napadi izsiljevalske programske opreme izvajajo iz dneva v mesec skozi čas, začenši z vstopom operaterja izsiljevalske programske opreme v omrežje.

Ta kršitev je posledica izpostavljenih storitev oddaljenega namizja, ranljivosti v programski opremi VPN ali oddaljenega dostopa zlonamerne programske opreme, kot so TrickBot, Dridex in QakBot.

Ko imajo dostop, uporabljajo orodja, kot so Mimikatz, PowerShell Empire, PSExec in druga, za zbiranje informacij o povezavi in ​​njihovo stransko širjenje po omrežju.

Ko dostopajo do računalnikov v omrežju, uporabijo to poverilnico za krajo nešifriranih datotek iz naprav za varnostno kopiranje in strežnikov, preden pride do napada z izsiljevalsko programsko opremo.

Po napadu so žrtve sporočile BleepingComputerju, da operaterji izsiljevalske programske opreme niso vidni, vendar je njihovo omrežje še vedno ogroženo.
Prepričanje je daleč od resnice, kar dokazuje nedavni napad operaterjev Maze Ransomware.



Preberi –Raziskovalci so vdrli v Siri, Alexa in Google Home tako, da so vanje svetili z laserji

Maze je po napadu z izsiljevalsko programsko opremo nadaljeval s krajo datotek

Operaterji izsiljevalske programske opreme Maze so na svojem spletnem mestu za uhajanje podatkov nedavno objavili, da so vdrli v omrežje hčerinske družbe ST Engineering, imenovane VT San Antonio Aerospace (VT SAA). Strašljivo pri tem uhajanju je, da je Maze objavil dokument, ki vsebuje poročilo IT oddelka žrtve o njegovem napadu z izsiljevalsko programsko opremo.

Ukradeni dokument kaže, da je bil Maze še vedno v svojem omrežju in je še naprej vohunil za ukradenimi datotekami podjetja, medtem ko se je preiskava napada nadaljevala. Ta stalni dostop ni neobičajen za to vrsto napada. McAfee glavni inženir in vodja kibernetske preiskave John Fokker

je za BleepingComputer povedal, da so nekateri napadalci brali e-pošto žrtev, medtem ko so potekala pogajanja o izsiljevalski programski opremi.
»Zavedamo se primerov, ko so igralci izsiljevalske programske opreme ostali v omrežju žrtve, potem ko so namestili svojo izsiljevalsko programsko opremo. V teh primerih so napadalci šifrirali varnostne kopije žrtve po začetnem napadu ali med pogajanji, ki so ostala za seboj. Seveda je lahko napadalec še vedno dostopal do nje in prebral žrtvino e-pošto.

Preberi –Hekerji izkoriščajo strah pred koronavirusom, da uporabnike zavedejo, da kliknejo zlonamerna e-poštna sporočila

Strokovni nasvet

Ko je zaznan napad z izsiljevalsko programsko opremo, mora podjetje najprej zaustaviti svoje omrežje in računalnike, ki delujejo v njem. Ta dejanja preprečujejo neprekinjeno šifriranje podatkov in onemogočajo napadalcem dostop do sistema.
Ko je to končano, mora podjetje poklicati ponudnika kibernetske varnosti, da izvede temeljito preiskavo napada in skeniranje vseh notranjih in javnih naprav.

To skeniranje vključuje skeniranje naprav podjetja za prepoznavanje trdovratnih okužb, ranljivosti, šibkih gesel in zlonamernih orodij, ki so jih pustili operaterji izsiljevalske programske opreme.

Kibernetsko zavarovanje žrtve v številnih primerih krije večino popravil in preiskav.

Fokker in Vitali Kremez, predsednik Advanced Intel, sta dala tudi nekaj dodatnih nasvetov in strategij za odpravo napada.

»Najpomembnejši napadi korporativne izsiljevalske programske opreme skoraj vedno vključujejo popolno ogrožanje žrtvinega omrežja, od rezervnih strežnikov do krmilnikov domene. S popolnim nadzorom nad sistemom lahko akterji groženj enostavno onemogočijo obrambo in implementirajo svojo izsiljevalsko programsko opremo.

»Ekipe za odzivanje na incidente (IR), ki so izpostavljene tako globokemu vmešavanju, morajo domnevati, da je napadalec še vedno v omrežju, dokler mu ne dokažejo krivde. V glavnem to pomeni izbiro drugega komunikacijskega kanala (ki ni viden akterju grožnje) za razpravo o tekočih prizadevanjih IR. ”

»Pomembno je omeniti, da so napadalci že pregledali žrtvin Active Directory, da bi odstranili vse preostale zakulisne račune. Opraviti morajo popoln pregled AD,« je Fokker povedal za BleepingComputer.

Kremez je predlagal tudi ločen varen komunikacijski kanal in zaprt kanal za shranjevanje podatkov, povezanih z raziskavo.

Napade z izsiljevalsko programsko opremo obravnavajte kot kršitve podatkov, ob predpostavki, da so napadalci morda še vedno v omrežju, zato bi morale žrtve delovati od spodaj navzgor, poskušati pridobiti forenzične dokaze, ki potrdijo ali razveljavijo hipotezo. Pogosto vključuje popolno forenzično analizo omrežne infrastrukture s poudarkom na privilegiranih računih. Prepričajte se, da imate načrt neprekinjenega poslovanja, da boste med forenzičnim vrednotenjem imeli ločeno varno shranjevanje in komunikacijski kanal (drugačno infrastrukturo),« je dejal Kremez.

Od spodaj navzgor poskusite pridobiti forenzične dokaze, ki potrdijo ali razveljavijo hipotezo. Pogosto vključuje popolno forenzično analizo omrežne infrastrukture s poudarkom na privilegiranih računih. Prepričajte se, da imate načrt neprekinjenega poslovanja, da boste med forenzičnim vrednotenjem imeli ločeno varno shranjevanje in komunikacijski kanal (drugačno infrastrukturo),« je dejal Kremez.

Kremez je ugotovil, da je priporočljiva ponovna zasnova naprav v ranljivem omrežju. Kljub temu morda ne bo dovolj, ker bodo napadalci verjetno imeli popoln dostop do omrežnih poverilnic, ki jih je mogoče uporabiti za drug napad.
»Žrtve lahko znova namestijo stroje in strežnike. Vendar se morate zavedati, da je kriminalec morda že ukradel poverilnice. Preprosta ponovna namestitev morda ne bo dovolj. « je nadaljeval Kremez.

Navsezadnje je bistveno domnevati, da bodo napadalci verjetno še naprej spremljali gibanje žrtve tudi po napadu.

To prisluškovanje ne bi samo oviralo čiščenja poškodovanega omrežja, ampak bi lahko tudi vplivalo na pogajalsko taktiko, če bi napadalci prebrali žrtvino e-pošto in ostali v prednosti.