HTCinside
Când o companie se confruntă cu oatac ransomware, mulți cred că atacatorii implementează rapid și părăsesc ransomware-ul, astfel încât să nu fie prinși. Din păcate, realitatea este foarte diferită pentru că actorii din amenințare nu renunță atât de repede la o resursă încât au muncit atât de mult pentru a o controla.
În schimb, atacurile ransomware rulează de la o lună la alta de-a lungul timpului, începând cu intrarea unui operator de ransomware într-o rețea.
Această încălcare se datorează serviciilor de desktop la distanță expuse, vulnerabilităților în software-ul VPN sau accesului de la distanță de către programe malware, cum ar fi TrickBot, Dridex și QakBot.
Odată ce au acces, folosesc instrumente precum Mimikatz, PowerShell Empire, PSExec și altele pentru a colecta informații de conectare și a le răspândi lateral în rețea.
Când accesează computere din rețea, folosesc această acreditări pentru a fura fișiere necriptate de pe dispozitive și servere de rezervă înainte ca atacul ransomware să aibă loc.
După ce a avut loc atacul, victimele au raportat lui BleepingComputer că operatorii de ransomware nu sunt vizibili, dar totuși, rețeaua lor este în pericol.
Credința este departe de adevăr, așa cum demonstrează un atac recent al operatorilor Maze Ransomware.
Citit -Cercetătorii au piratat Siri, Alexa și Google Home, aruncându-le lasere
Operatorii Maze Ransomware au anunțat recent pe site-ul lor de scurgeri de date că au piratat rețeaua unei subsidiare ST Engineering numită VT San Antonio Aerospace (VT SAA). Lucrul înfricoșător la această scurgere este că Maze a lansat un document care conține raportul departamentului IT al victimei despre atacul său ransomware.
Documentul furat arată că Maze era încă în rețeaua sa și a continuat să spioneze fișierele furate ale companiei în timp ce investigarea atacului a continuat. Acest acces continuu nu este neobișnuit pentru acest tip de atac. John Fokker, inginer șef McAfee și manager de investigații cibernetice
a declarat pentru BleepingComputer că unii atacatori au citit e-mailurile victimelor în timp ce negocierile pentru ransomware erau în desfășurare.
„Suntem conștienți de cazuri în care jucătorii de ransomware au rămas în rețeaua unei victime după ce și-au implementat ransomware. În aceste cazuri, atacatorii au criptat copiile de rezervă ale victimei după atacul inițial sau în timpul negocierilor lăsate în urmă. Desigur, atacatorul ar putea să-l acceseze și să citească e-mailul victimei.
Citit -Hackerii exploatează teama de Coronavirus pentru a păcăli utilizatorii să facă clic pe e-mailuri rău intenționate
După ce este detectat un atac ransomware, o companie trebuie mai întâi să-și închidă rețeaua și computerele care rulează pe ea. Aceste acțiuni împiedică criptarea continuă a datelor și interzice atacatorilor accesul la sistem.
Odată ce acest lucru este finalizat, compania ar trebui să cheme un furnizor de securitate cibernetică pentru a face o investigație amănunțită a atacului și a scanării tuturor dispozitivelor interne și publice.
Această scanare include scanarea dispozitivelor companiei pentru a identifica infecțiile persistente, vulnerabilitățile, parolele slabe și instrumentele rău intenționate lăsate în urmă de operatorii de ransomware.
Asigurarea cibernetică a victimei acoperă majoritatea reparațiilor și investigațiilor în multe dintre cazuri.
Fokker și Vitali Kremez, președintele Advanced Intel, au oferit și câteva sfaturi și strategii suplimentare pentru a corecta un atac.
„Cele mai semnificative atacuri ransomware corporative implică aproape întotdeauna un compromis complet al rețelei victimei, de la servere de rezervă până la controlere de domeniu. Cu control deplin asupra unui sistem, actorii amenințărilor pot dezactiva cu ușurință apărarea și își pot implementa ransomware-ul.
„Echipele de răspuns la incident (IR) care sunt supuse unei astfel de interferențe profunde trebuie să presupună că atacatorul este încă în rețea până când se dovedește vinovat. În principal, aceasta înseamnă alegerea unui alt canal de comunicare (nu este vizibil pentru actorul amenințării) pentru a discuta eforturile IR în curs. ”
„Este important să rețineți că atacatorii au scanat deja directorul activ al victimei pentru a elimina toate conturile de backdoor rămase. Trebuie să facă o scanare completă AD”, a spus Fokker pentru BleepingComputer.
Kremez a propus, de asemenea, un canal de comunicație securizat separat și un canal de stocare închis în care datele legate de sondaj pot fi stocate.
Tratați atacurile ransomware ca încălcări ale datelor, presupunând că atacatorii pot fi încă în rețea, așa că victimele ar trebui să lucreze de jos în sus, să încerce să obțină dovezi criminalistice care confirmă sau invalidează ipoteza. Acesta include adesea o analiză criminalistică completă a infrastructurii rețelei, cu accent pe conturile privilegiate. Asigurați-vă că aveți un plan de continuitate a afacerii pentru a avea un canal separat de stocare și comunicare (infrastructură diferită) în timpul evaluării criminalistice”, a spus Kremez.
De jos în sus, încercați să obțineți dovezi criminalistice care confirmă sau invalidează ipoteza. Acesta include adesea o analiză criminalistică completă a infrastructurii rețelei, cu accent pe conturile privilegiate. Asigurați-vă că aveți un plan de continuitate a afacerii pentru a avea un canal separat de stocare și comunicare (infrastructură diferită) în timpul evaluării criminalistice”, a spus Kremez.
Kremez a descoperit că se recomandă reimaginarea dispozitivelor dintr-o rețea vulnerabilă. Totuși, s-ar putea să nu fie suficient, deoarece atacatorii sunt probabil să aibă acces deplin la acreditările de rețea care pot fi folosite pentru un alt atac.
„Victimele au potențialul de a reinstala mașini și servere. Cu toate acestea, ar trebui să știți că criminalul poate să fi furat deja acreditările. O simplă reinstalare poate să nu fie suficientă. „A continuat Kremez.
În cele din urmă, este esențial să presupunem că atacatorii vor continua să monitorizeze mișcările victimei chiar și după un atac.
Această interceptare nu numai că ar putea împiedica curățarea unei rețele deteriorate, dar ar putea afecta și tacticile de negociere dacă atacatorii citesc e-mailul unei victime și rămân în avans.