HTCinside
Kada poduzeće doživi aransomware napad, mnogi vjeruju da se napadači brzo aktiviraju i napuštaju ransomware kako ne bi bili uhvaćeni. Nažalost, stvarnost je sasvim drugačija jer akteri prijetnje ne odustaju od resursa tako brzo da su toliko naporno radili da ga kontroliraju.
Umjesto toga, napadi ransomwarea izvode se iz dana u mjesec tijekom vremena, počevši od ulaska operatera ransomwarea na mrežu.
Ovo kršenje je zbog izloženih usluga udaljene radne površine, ranjivosti u VPN softveru ili udaljenog pristupa zlonamjernog softvera kao što su TrickBot, Dridex i QakBot.
Nakon što dobiju pristup, koriste alate kao što su Mimikatz, PowerShell Empire, PSExec i druge za prikupljanje informacija o povezivanju i njihovo bočno širenje po mreži.
Kada pristupaju računalima na mreži, koriste ovu vjerodajnicu za krađu nešifriranih datoteka s uređaja za sigurnosno kopiranje i poslužitelja prije nego što se dogodi napad ransomwarea.
Nakon što se napad dogodio, žrtve su izvijestile BleepingComputer da operateri ransomwarea nisu vidljivi, no ipak je njihova mreža ugrožena.
Uvjerenje je daleko od istine, što dokazuje i nedavni napad operatera Maze Ransomwarea.
Čitati -Istraživači su hakirali Siri, Alexa i Google Home tako što su ih laserski obasjali
Operateri Maze Ransomwarea nedavno su na svojoj stranici za curenje podataka objavili da su hakirali mrežu podružnice ST Engineeringa pod nazivom VT San Antonio Aerospace (VT SAA). Zastrašujuća stvar u vezi s ovim curenjem je to što je Maze objavio dokument koji sadrži izvješće žrtvinog IT odjela o njegovom napadu ransomwareom.
Ukradeni dokument pokazuje da je Maze još uvijek bio na svojoj mreži i da je nastavio špijunirati ukradene datoteke tvrtke dok se istraga napada nastavljala. Ovaj kontinuirani pristup nije neuobičajen za ovu vrstu napada. McAfee glavni inženjer i voditelj cyber istrage John Fokker
rekao je za BleepingComputer da su neki napadači čitali e-poštu žrtava dok su pregovori o ransomwareu bili u tijeku.
“Svjesni smo slučajeva u kojima su igrači ransomwarea ostali na mreži žrtve nakon što su postavili svoj ransomware. U tim slučajevima napadači su šifrirali sigurnosne kopije žrtve nakon početnog napada ili tijekom pregovora koji su zaostali. Naravno, napadač mu je i dalje mogao pristupiti i čitati žrtvinu e-poštu.
Čitati -Hakeri iskorištavaju strah od koronavirusa kako bi prevarili korisnike da kliknu na zlonamjernu e-poštu
Nakon što se otkrije napad ransomwarea, tvrtka prvo mora zatvoriti svoju mrežu i računala koja rade na njoj. Ove radnje sprječavaju kontinuiranu enkripciju podataka i napadačima onemogućuju pristup sustavu.
Nakon što se to završi, tvrtka bi trebala nazvati pružatelja usluga kibernetičke sigurnosti da provede temeljitu istragu napada i skeniranje svih internih i javnih uređaja.
Ovo skeniranje uključuje skeniranje uređaja tvrtke kako bi se identificirale trajne infekcije, ranjivosti, slabe lozinke i zlonamjerni alati koje su ostavili operateri ransomwarea.
Cyber osiguranje žrtve pokriva većinu popravaka i istrage u mnogim slučajevima.
Fokker i Vitali Kremez, predsjednik Advanced Intela, također su dali neke dodatne savjete i strategije za ispravljanje napada.
“Najznačajniji korporativni ransomware napadi gotovo uvijek uključuju potpuno ugrožavanje mreže žrtve, od rezervnih poslužitelja do kontrolera domene. Uz potpunu kontrolu nad sustavom, akteri prijetnji mogu lako onemogućiti obranu i implementirati svoj ransomware.
“Timovi za odgovor na incidente (IR) koji su izloženi tako dubokom ometanju moraju pretpostaviti da je napadač još uvijek na mreži dok se ne dokaže krivnja. Uglavnom, to znači odabir drugog komunikacijskog kanala (koji nije vidljiv akteru prijetnje) za raspravu o tekućim IR naporima. ”
“Važno je napomenuti da su napadači već skenirali žrtvin Active Directory kako bi uklonili sve preostale backdoor račune. Moraju napraviti potpuno AD skeniranje”, rekao je Fokker za BleepingComputer.
Kremez je također predložio zasebni sigurni komunikacijski kanal i zatvoreni kanal za pohranu u koji se mogu pohraniti podaci vezani uz anketu.
Tretirajte napade ransomwarea kao povrede podataka, pod pretpostavkom da su napadači još uvijek na mreži, pa bi žrtve trebale raditi odozdo prema gore, pokušati pribaviti forenzičke dokaze koji potvrđuju ili poništavaju hipotezu. Često uključuje punu forenzičku analizu mrežne infrastrukture, s fokusom na povlaštene račune. Provjerite imate li plan kontinuiteta poslovanja kako biste imali zasebnu sigurnu pohranu i komunikacijski kanal (različitu infrastrukturu) tijekom forenzičke evaluacije”, rekao je Kremez.
Odozdo prema gore, pokušajte pribaviti forenzičke dokaze koji potvrđuju ili poništavaju hipotezu. Često uključuje punu forenzičku analizu mrežne infrastrukture, s fokusom na povlaštene račune. Provjerite imate li plan kontinuiteta poslovanja kako biste imali zasebnu sigurnu pohranu i komunikacijski kanal (različitu infrastrukturu) tijekom forenzičke evaluacije”, rekao je Kremez.
Kremez je otkrio da se preporuča ponovno osmišljavanje uređaja na ranjivoj mreži. Ipak, to možda neće biti dovoljno jer će napadači vjerojatno imati potpuni pristup mrežnim vjerodajnicama koje se mogu koristiti za drugi napad.
“Žrtve imaju potencijal ponovno instalirati strojeve i poslužitelje. Međutim, trebali biste biti svjesni da je kriminalac možda već ukrao vjerodajnice. Jednostavna ponovna instalacija možda neće biti dovoljna. “, nastavio je Kremez.
U konačnici, bitno je pretpostaviti da će napadači vjerojatno nastaviti pratiti pokrete žrtve čak i nakon napada.
Ovo prisluškivanje ne samo da bi moglo spriječiti čišćenje oštećene mreže, već bi također moglo utjecati na taktiku pregovora ako napadači pročitaju žrtvinu e-poštu i ostanu ispred.