HTCinside
Когато една компания изпитва aransomware атака, мнозина вярват, че нападателите бързо внедряват и напускат рансъмуера, така че да не бъдат хванати. За съжаление, реалността е много различна, защото участниците в заплахата не се отказват от ресурс толкова бързо, че са работили толкова усилено, за да го контролират.
Вместо това атаките на рансъмуер се изпълняват всеки месец във времето, като се започне с влизането на оператор на рансъмуер в мрежата.
Това нарушение се дължи на разкрити услуги за отдалечен работен плот, уязвимости в VPN софтуера или отдалечен достъп от зловреден софтуер като TrickBot, Dridex и QakBot.
След като имат достъп, те използват инструменти като Mimikatz, PowerShell Empire, PSExec и други, за да събират информация за връзката и да я разпространяват странично в мрежата.
Когато имат достъп до компютри в мрежата, те използват тези идентификационни данни, за да откраднат некриптирани файлове от устройства за архивиране и сървъри, преди да се случи атаката с ransomware.
След извършването на атаката жертвите съобщиха на BleepingComputer, че операторите на ransomware не се виждат, но въпреки това тяхната мрежа е изложена на риск.
Убеждението е далеч от истината, както се вижда от скорошна атака от оператори на Maze Ransomware.
Прочети -Изследователи хакнаха Siri, Alexa и Google Home, като ги осветиха с лазери
Операторите на Maze Ransomware наскоро обявиха на своя сайт за изтичане на данни, че са хакнали мрежата на дъщерно дружество на ST Engineering, наречено VT San Antonio Aerospace (VT SAA). Страшното в това изтичане е, че Maze пусна документ, съдържащ доклада на ИТ отдела на жертвата за неговата атака с ransomware.
Откраднатият документ показва, че Мейз все още е бил в мрежата си и е продължил да шпионира откраднатите файлове на компанията, докато разследването на атаката продължава. Този непрекъснат достъп не е необичаен за този тип атака. Главен инженер и мениджър на киберразследвания на McAfee Джон Фокър
каза пред BleepingComputer, че някои нападатели са чели имейлите на жертвите, докато са в ход преговорите за ransomware.
„Запознати сме със случаи, при които играчи на рансъмуер остават в мрежата на жертвата, след като внедрят своя рансъмуер. В тези случаи нападателите са криптирали резервните копия на жертвата след първоначалната атака или по време на преговори, които са останали. Разбира се, нападателят все още може да получи достъп до него и да прочете имейла на жертвата.
Прочети -Хакерите се възползват от страха от коронавирус, за да подмамят потребителите да кликнат върху злонамерени имейли
След като бъде открита атака с рансъмуер, компанията трябва първо да изключи своята мрежа и работещите в нея компютри. Тези действия предотвратяват непрекъснатото криптиране на данни и отказват на нападателите достъп до системата.
След като това приключи, компанията трябва да се обади на доставчик на киберсигурност, за да извърши задълбочено разследване на атаката и сканиране на всички вътрешни и публични устройства.
Това сканиране включва сканиране на устройствата на компанията за идентифициране на постоянни инфекции, уязвимости, слаби пароли и злонамерени инструменти, оставени от операторите на ransomware.
Киберзастраховката на жертвата покрива повечето от ремонтите и разследването в много от случаите.
Fokker и Vitali Kremez, председател на Advanced Intel, също дадоха някои допълнителни съвети и стратегии за коригиране на атака.
„Най-значимите корпоративни атаки с ransomware почти винаги включват пълен компромет на мрежата на жертвата, от резервни сървъри до домейн контролери. С пълен контрол върху системата, участниците в заплахата могат лесно да деактивират защитата и да внедрят своя ransomware.
„Екипите за реагиране при инциденти (IR), които са обект на такава дълбока намеса, трябва да приемат, че нападателят все още е в мрежата, докато не се докаже вината му. Основно това означава избор на различен комуникационен канал (невидим за заплахата), за да обсъдите текущите IR усилия. ”
„Важно е да се отбележи, че нападателите вече са сканирали Active Directory на жертвата, за да премахнат всички останали задни акаунти. Те трябва да направят пълно AD сканиране“, каза Фокър пред BleepingComputer.
Kremez също предложи отделен защитен канал за комуникация и затворен канал за съхранение, където могат да се съхраняват данни, свързани с проучването.
Третирайте атаките с ransomware като пробиви на данни, като приемете, че нападателите все още може да са в мрежата, така че жертвите трябва да работят отдолу нагоре, да се опитат да получат криминалистични доказателства, които потвърждават или обезсилват хипотезата. Често включва пълен криминалистичен анализ на мрежовата инфраструктура с акцент върху привилегированите акаунти. Уверете се, че имате план за непрекъснатост на бизнеса, за да имате отделно сигурно съхранение и комуникационен канал (различна инфраструктура) по време на криминалистичната оценка“, каза Кремез.
Отдолу нагоре се опитайте да получите криминалистични доказателства, които потвърждават или опровергават хипотезата. Често включва пълен криминалистичен анализ на мрежовата инфраструктура с акцент върху привилегированите акаунти. Уверете се, че имате план за непрекъснатост на бизнеса, за да имате отделно сигурно съхранение и комуникационен канал (различна инфраструктура) по време на криминалистичната оценка“, каза Кремез.
Kremez установи, че се препоръчва преосмисляне на устройства в уязвима мрежа. Все пак може да не е достатъчно, защото нападателите вероятно ще имат пълен достъп до мрежовите идентификационни данни, които могат да бъдат използвани за друга атака.
„Жертвите имат потенциала да преинсталират машини и сървъри. Трябва обаче да сте наясно, че престъпникът може вече да е откраднал идентификационните данни. Простата преинсталация може да не е достатъчна. “, продължи Кремез.
В крайна сметка е важно да се предположи, че нападателите вероятно ще продължат да наблюдават движенията на жертвата дори след атака.
Това подслушване може не само да попречи на почистването на повредена мрежа, но също така може да повлияе на тактиката на преговорите, ако нападателите прочетат имейла на жертвата и останат напред.