HTCinside
Keď spoločnosť zažíva aransomvérový útok, mnohí veria, že útočníci rýchlo nasadia a opustia ransomvér, aby ich nechytili. Žiaľ, realita je veľmi odlišná, pretože aktéri hrozby sa nevzdávajú zdroja tak rýchlo, že tak tvrdo pracovali na jeho kontrole.
Namiesto toho útoky ransomvéru prebiehajú každý mesiac v priebehu času, počnúc vstupom prevádzkovateľa ransomvéru do siete.
Toto porušenie je spôsobené odhalenými službami vzdialenej pracovnej plochy, zraniteľnosťami v softvéri VPN alebo vzdialeným prístupom škodlivého softvéru, ako sú TrickBot, Dridex a QakBot.
Keď získajú prístup, použijú nástroje ako Mimikatz, PowerShell Empire, PSExec a ďalšie na zhromažďovanie informácií o pripojení a ich šírenie po sieti.
Keď pristupujú k počítačom v sieti, používajú toto poverenie na ukradnutie nezašifrovaných súborov zo záložných zariadení a serverov skôr, ako dôjde k útoku ransomware.
Po útoku obete nahlásili BleepingComputer, že operátori ransomvéru nie sú viditeľní, no ich sieť je stále ohrozená.
Viera je ďaleko od pravdy, o čom svedčí aj nedávny útok operátorov Maze Ransomware.
Čítať -Výskumníci hackli Siri, Alexa a Google Home tým, že na nich svietili lasermi
Operátori Maze Ransomware nedávno na svojej stránke o úniku údajov oznámili, že sa nabúrali do siete dcérskej spoločnosti ST Engineering s názvom VT San Antonio Aerospace (VT SAA). Desivé na tomto úniku je, že Maze zverejnil dokument obsahujúci správu IT oddelenia obete o jeho ransomvérovom útoku.
Ukradnutý dokument ukazuje, že Maze bol stále vo svojej sieti a pokračoval v špehovaní ukradnutých súborov spoločnosti, zatiaľ čo vyšetrovanie útoku pokračovalo. Tento nepretržitý prístup nie je pre tento typ útoku nezvyčajný. Hlavný inžinier McAfee a manažér kybernetického vyšetrovania John Fokker
povedal BleepingComputer, že niektorí útočníci čítali e-maily obetí, kým prebiehali rokovania o ransomvéri.
„Sme si vedomí prípadov, keď hráči ransomvéru zostali v sieti obete po nasadení svojho ransomvéru. V týchto prípadoch útočníci zašifrovali zálohy obete po počiatočnom útoku alebo počas rokovaní, ktoré za sebou zanechali. Útočník mal, samozrejme, stále prístup k nemu a mohol si prečítať e-mail obete.
Čítať -Hackeri využívajú strach z koronavírusu na oklamanie používateľov, aby klikli na škodlivé e-maily
Po zistení ransomvérového útoku musí spoločnosť najprv vypnúť svoju sieť a počítače, ktoré sú na nej spustené. Tieto akcie zabraňujú nepretržitému šifrovaniu údajov a zabraňujú útočníkom prístup do systému.
Po dokončení by spoločnosť mala zavolať poskytovateľa kybernetickej bezpečnosti, aby vykonal dôkladné vyšetrenie útoku a skenovanie všetkých interných a verejných zariadení.
Toto skenovanie zahŕňa skenovanie zariadení spoločnosti s cieľom identifikovať pretrvávajúce infekcie, zraniteľné miesta, slabé heslá a škodlivé nástroje, ktoré po sebe zanechali operátori ransomvéru.
Kybernetické poistenie obete pokrýva väčšinu opráv a vyšetrovania v mnohých prípadoch.
Fokker a Vitali Kremez, predseda spoločnosti Advanced Intel, tiež poskytli niekoľko ďalších tipov a stratégií na nápravu útoku.
„Najvýznamnejšie podnikové ransomvérové útoky takmer vždy zahŕňajú úplné ohrozenie siete obete, od záložných serverov až po radiče domény. S plnou kontrolou nad systémom môžu aktéri hrozieb jednoducho deaktivovať obranu a implementovať svoj ransomvér.
„Tímy reakcie na incidenty (IR), ktoré sú vystavené takémuto hlbokému zasahovaniu, musia predpokladať, že útočník je stále na sieti, kým sa nepreukáže vina. Predovšetkým to znamená vybrať si iný komunikačný kanál (nie je viditeľný pre aktéra hrozby) na diskusiu o prebiehajúcich snahách o IR. “
„Je dôležité poznamenať, že útočníci už skontrolovali Active Directory obete, aby odstránili všetky zostávajúce účty typu backdoor. Musia urobiť úplnú kontrolu AD,“ povedal Fokker pre BleepingComputer.
Kremez tiež navrhol samostatný bezpečný komunikačný kanál a uzavretý úložný kanál, kde môžu byť uložené údaje súvisiace s prieskumom.
K útokom ransomvéru pristupujte ako k narušeniu údajov, za predpokladu, že útočníci môžu byť stále v sieti, takže obete by mali pracovať zdola nahor a pokúsiť sa získať forenzné dôkazy, ktoré potvrdia alebo vyvrátia hypotézu. Často zahŕňa úplnú forenznú analýzu sieťovej infraštruktúry so zameraním na privilegované účty. Uistite sa, že máte plán kontinuity podnikania, aby ste mali počas forenzného hodnotenia samostatný bezpečný úložný a komunikačný kanál (inú infraštruktúru), “povedal Kremez.
Pokúste sa zdola nahor získať forenzné dôkazy, ktoré potvrdia alebo vyvrátia hypotézu. Často zahŕňa úplnú forenznú analýzu sieťovej infraštruktúry so zameraním na privilegované účty. Uistite sa, že máte plán kontinuity podnikania, aby ste mali počas forenzného hodnotenia samostatný bezpečný úložný a komunikačný kanál (inú infraštruktúru), “povedal Kremez.
Kremez zistil, že sa odporúča reimaginácia zariadení v zraniteľnej sieti. Napriek tomu to nemusí stačiť, pretože útočníci budú mať pravdepodobne úplný prístup k sieťovým povereniam, ktoré môžu byť použité na ďalší útok.
„Obete majú potenciál preinštalovať stroje a servery. Mali by ste si však uvedomiť, že zločinec už mohol ukradnúť poverenia. Jednoduchá opätovná inštalácia nemusí stačiť. “ pokračoval Kremez.
V konečnom dôsledku je nevyhnutné predpokladať, že útočníci budú pravdepodobne pokračovať v monitorovaní pohybu obete aj po útoku.
Toto odpočúvanie by mohlo nielen brániť vyčisteniu poškodenej siete, ale mohlo by tiež ovplyvniť vyjednávaciu taktiku, ak by si útočníci prečítali e-mail obete a zostali vpredu.