HTCinside
Kiedy firma doświadcza aatak ransomware, wielu uważa, że osoby atakujące szybko wdrażają i opuszczają oprogramowanie ransomware, aby nie dać się złapać. Niestety rzeczywistość jest zupełnie inna, ponieważ aktorzy w zagrożeniu nie rezygnują z zasobów tak szybko, że tak ciężko pracowali, aby je kontrolować.
Zamiast tego ataki ransomware odbywają się z dnia na miesiąc, zaczynając od wejścia operatora oprogramowania ransomware do sieci.
To naruszenie wynika z ujawnionych usług pulpitu zdalnego, luk w oprogramowaniu VPN lub zdalnego dostępu przez złośliwe oprogramowanie, takie jak TrickBot, Dridex i QakBot.
Po uzyskaniu dostępu używają narzędzi takich jak Mimikatz, PowerShell Empire, PSExec i innych, aby zbierać informacje o połączeniu i rozpowszechniać je na boki w sieci.
Gdy uzyskują dostęp do komputerów w sieci, używają tego poświadczenia do kradzieży niezaszyfrowanych plików z urządzeń i serwerów kopii zapasowych, zanim nastąpi atak ransomware.
Po ataku ofiary zgłosiły BleepingComputer, że operatorzy ransomware nie są widoczni, ale ich sieć jest zagrożona.
Przekonanie jest dalekie od prawdy, o czym świadczy niedawny atak operatorów Maze Ransomware.
Czytać -Naukowcy zhakowali Siri, Alexę i Google Home, świecąc laserami
Operatorzy Maze Ransomware ogłosili niedawno na swojej stronie wycieku danych, że włamali się do sieci spółki zależnej ST Engineering o nazwie VT San Antonio Aerospace (VT SAA). Przerażające w tym wycieku jest to, że Maze opublikował dokument zawierający raport działu IT ofiary na temat jego ataku ransomware.
Skradziony dokument pokazuje, że Maze nadal był w swojej sieci i nadal szpiegował skradzione pliki firmy, podczas gdy śledztwo w sprawie ataku było kontynuowane. Ten ciągły dostęp nie jest rzadkością w przypadku tego typu ataku. Główny inżynier McAfee i kierownik ds. śledztw cybernetycznych John Fokker
powiedział BleepingComputer, że niektórzy atakujący czytają wiadomości e-mail ofiar podczas negocjacji dotyczących oprogramowania ransomware.
„Zdajemy sobie sprawę z przypadków, w których gracze ransomware pozostawali w sieci ofiary po wdrożeniu oprogramowania ransomware. W takich przypadkach osoby atakujące zaszyfrowały kopie zapasowe ofiary po początkowym ataku lub podczas pozostawionych negocjacji. Oczywiście atakujący nadal mógł uzyskać do niego dostęp i przeczytać wiadomość e-mail ofiary.
Czytać -Hakerzy wykorzystują strach przed koronawirusem, aby nakłonić użytkowników do kliknięcia złośliwych wiadomości e-mail
Po wykryciu ataku ransomware firma musi najpierw zamknąć swoją sieć i działające na niej komputery. Działania te zapobiegają ciągłemu szyfrowaniu danych i uniemożliwiają atakującym dostęp do systemu.
Gdy to się zakończy, firma powinna zadzwonić do dostawcy cyberbezpieczeństwa, aby dokładnie zbadał atak i przeskanował wszystkie urządzenia wewnętrzne i publiczne.
To skanowanie obejmuje skanowanie urządzeń firmy w celu zidentyfikowania uporczywych infekcji, luk w zabezpieczeniach, słabych haseł i złośliwych narzędzi pozostawionych przez operatorów ransomware.
Ubezpieczenie cybernetyczne ofiary obejmuje większość napraw i dochodzenia w wielu przypadkach.
Fokker i Vitali Kremez, przewodniczący Advanced Intel, udzielili również kilku dodatkowych wskazówek i strategii, jak skorygować atak.
„Najważniejsze ataki korporacyjnego oprogramowania ransomware prawie zawsze wiążą się z całkowitym włamaniem do sieci ofiary, od serwerów zapasowych po kontrolery domeny. Mając pełną kontrolę nad systemem, cyberprzestępcy mogą łatwo wyłączyć ochronę i wdrożyć oprogramowanie ransomware.
„Zespoły reagowania na incydenty (IR), które podlegają tak głębokiej ingerencji, muszą założyć, że atakujący nadal znajduje się w sieci, dopóki nie zostanie udowodniony jego wina. Przede wszystkim oznacza to wybór innego kanału komunikacji (niewidocznego dla podmiotu zagrażającego) w celu omówienia bieżących działań IR. ”
„Ważne jest, aby pamiętać, że osoby atakujące przeskanowały już Active Directory ofiary, aby usunąć wszelkie pozostałe konta backdoorów. Muszą wykonać pełny skan AD” – powiedział Fokker BleepingComputer.
Kremez zaproponował również osobny bezpieczny kanał komunikacji i zamknięty kanał przechowywania, w którym można przechowywać dane związane z badaniem.
Traktuj ataki ransomware jako naruszenia danych, zakładając, że atakujący nadal mogą znajdować się w sieci, więc ofiary powinny działać oddolnie, próbując uzyskać dowody kryminalistyczne, które potwierdzają lub obalają hipotezę. Często zawiera pełną analizę śledczą infrastruktury sieciowej, ze szczególnym uwzględnieniem kont uprzywilejowanych. Upewnij się, że masz plan ciągłości biznesowej, aby mieć osobny bezpieczny kanał przechowywania i komunikacji (inna infrastruktura) podczas oceny kryminalistycznej” – powiedział Kremez.
Od dołu do góry postaraj się uzyskać dowody kryminalistyczne, które potwierdzają lub unieważniają hipotezę. Często zawiera pełną analizę śledczą infrastruktury sieciowej, ze szczególnym uwzględnieniem kont uprzywilejowanych. Upewnij się, że masz plan ciągłości biznesowej, aby mieć osobny bezpieczny kanał przechowywania i komunikacji (inna infrastruktura) podczas oceny kryminalistycznej” – powiedział Kremez.
Kremez stwierdził, że zalecane jest przeprojektowanie urządzeń w zagrożonej sieci. Mimo to może to nie wystarczyć, ponieważ osoby atakujące prawdopodobnie będą miały pełny dostęp do poświadczeń sieciowych, które można wykorzystać do innego ataku.
„Ofiary mają potencjał do ponownej instalacji maszyn i serwerów. Należy jednak pamiętać, że przestępca mógł już wykraść dane uwierzytelniające. Prosta ponowna instalacja może nie wystarczyć. Kremez kontynuował.
Ostatecznie konieczne jest założenie, że napastnicy prawdopodobnie będą nadal monitorować ruchy ofiary nawet po ataku.
Takie podsłuchiwanie może nie tylko utrudnić czyszczenie uszkodzonej sieci, ale może również wpłynąć na taktykę negocjacyjną, jeśli atakujący przeczyta wiadomość e-mail ofiary i pozostanie na czele.