ru | de | da | nl | sv | fi | fr | it | es | pt | ro | el | pl | cs |

Mie 25 Mai 2022

Operatorii de ransomware se ascund în rețeaua dumneavoastră după ce au atacat

  • 4 Decembrie 2021

Când o companie se confruntă cu un atac ransomware , mulți cred că atacatorii implementează rapid și părăsesc ransomware-ul, astfel încât să nu fie prinși. Din păcate, realitatea este foarte diferită, deoarece actorii amenințării nu renunță atât de repede la o resursă pe care au muncit atât de mult pentru a o controla.

YouTube video: Operatorii de ransomware se ascund în rețeaua dumneavoastră după ce au atacat


În schimb, atacurile ransomware se desfășoară zi de zi în timp, începând cu intrarea unui operator ransomware într-o rețea.

Această încălcare se datorează serviciilor de desktop la distanță expuse, vulnerabilităților din software-ul VPN sau accesului de la distanță de către programe malware precum TrickBot, Dridex și QakBot.

După ce au acces, aceștia folosesc instrumente precum Mimikatz, PowerShell Empire, PSExec și altele pentru a colecta informații despre conexiune și a le răspândi lateral în rețea.

Când accesează computerele din rețea, folosesc aceste credențiale pentru a fura fișiere necriptate de pe dispozitivele de backup și de pe servere înainte ca atacul ransomware să aibă loc.

După ce a avut loc atacul, victimele au raportat pentru BleepingComputer că operatorii de ransomware nu sunt vizibili, dar, cu toate acestea, rețeaua lor este în pericol.
Credința este departe de adevăr, după cum a demonstrat un atac recent al operatorilor de ransomware Maze.

Citește - Cercetătorii au spart Siri, Alexa și Google Home luminându-le cu lasere

Maze a continuat să fure fișiere și după atacul ransomware

Operatorii de ransomware Mazei au anunțat recent pe site-ul lor de scurgeri de date că au pătruns în rețeaua unei filiale a ST Engineering numită VT San Antonio Aerospace (VT SAA). Lucrul înfricoșător în legătură cu această scurgere de informații este că Maze a publicat un document care conține raportul departamentului IT al victimei cu privire la atacul său ransomware.

Documentul furat arată că Maze era încă în rețeaua sa și a continuat să spioneze fișierele furate ale companiei în timp ce investigația atacului a continuat. Acest acces continuu nu este neobișnuit pentru acest tip de atac. John Fokker, inginer-șef McAfee și director de investigații cibernetice

a declarat pentru BleepingComputer că unii atacatori citesc e-mailurile victimelor în timp ce negocierile pentru ransomware sunt în curs de desfășurare.
"Cunoaștem cazuri în care jucătorii de ransomware au rămas în rețeaua unei victime după ce și-au implementat ransomware-ul. În aceste cazuri, atacatorii au criptat copiile de rezervă ale victimei după atacul inițial sau în timpul negocierilor lăsate în urmă. Desigur, atacatorul putea în continuare să o acceseze a avut și să citească e-mailurile victimei."

Citește - Hackerii exploatează teama de Coronavirus pentru a păcăli utilizatorii să dea click pe e-mailuri malițioase

Consiliere de specialitate

După ce un atac ransomware este detectat, o companie trebuie mai întâi să își închidă rețeaua și computerele care rulează pe ea. Aceste acțiuni previn criptarea continuă a datelor și interzic accesul atacatorilor la sistem.
După ce acest lucru este finalizat, compania trebuie să apeleze la un furnizor de securitate cibernetică pentru a face o investigație amănunțită a atacului și o scanare a tuturor dispozitivelor interne și publice.

Acestă scanare include scanarea dispozitivelor companiei pentru a identifica infecțiile persistente, vulnerabilitățile, parolele slabe și instrumentele malițioase lăsate în urmă de operatorii de ransomware.

Asigurarea cibernetică a victimei acoperă cea mai mare parte a reparațiilor și a investigațiilor în multe dintre cazuri.

Fokker și Vitali Kremez, președintele Advanced Intel, au oferit, de asemenea, câteva sfaturi și strategii suplimentare pentru a corecta un atac.

"Cele mai semnificative atacuri de ransomware corporativ implică aproape întotdeauna o compromitere completă a rețelei victimei, de la serverele de backup la controlorii de domeniu. Cu un control total asupra unui sistem, actorii amenințători pot dezactiva cu ușurință apărarea și își pot implementa ransomware-ul.

"Echipele de răspuns la incidente (IR) care sunt supuse unei astfel de interferențe profunde trebuie să presupună că atacatorul este încă în rețea până când se dovedește că este vinovat. În principal, acest lucru înseamnă alegerea unui canal de comunicare diferit (care să nu fie vizibil pentru actorul de amenințare) pentru a discuta despre eforturile IR în curs de desfășurare. "

"Este important de notat în jos că atacatorii au scanat deja Active Directory-ul unei victime pentru a elimina orice conturi backdoor rămase. Ei trebuie să facă o scanare completă a AD", a declarat Fokker pentru BleepingComputer.

Kremez a propus, de asemenea, un canal de comunicare securizat separat și un canal de stocare închis unde pot fi stocate datele legate de anchetă.

Tratați atacurile ransomware ca pe niște breșe de date, presupunând că atacatorii pot fi încă în rețea, astfel încât victimele ar trebui să lucreze de jos în sus, să încerce să obțină dovezi criminalistice care să confirme sau să infirme ipoteza. Aceasta include adesea o analiză criminalistică completă a infrastructurii rețelei, cu accent pe conturile privilegiate. Asigurați-vă că aveți un plan de continuitate a activității pentru a avea un canal de stocare și de comunicare securizat separat (o infrastructură diferită) în timpul evaluării criminalistice", a declarat Kremez.

De jos în sus, încercați să obțineți dovezi criminalistice care confirmă sau infirmă ipoteza. Aceasta include adesea o analiză criminalistică completă a infrastructurii de rețea, cu accent pe conturile privilegiate. Asigurați-vă că aveți un plan de continuitate a activității pentru a avea un canal de stocare și de comunicare securizat separat (o infrastructură diferită) în timpul evaluării criminalistice", a spus Kremez.

Kremez a constatat că se recomandă reimaginarea dispozitivelor dintr-o rețea vulnerabilă. Cu toate acestea, s-ar putea să nu fie suficient, deoarece este posibil ca atacatorii să aibă acces deplin la acreditările de rețea care pot fi folosite pentru un alt atac.
"Victimele au potențialul de a reinstala mașini și servere. Cu toate acestea, trebuie să fiți conștienți de faptul că este posibil ca infractorul să fi furat deja acreditările. Este posibil ca o simplă reinstalare să nu fie suficientă. "Kremez a continuat.

În ultimă instanță, este esențial să presupunem că este probabil ca atacatorii să continue să monitorizeze mișcările unei victime chiar și după un atac.

Această ascultare ar putea nu numai să împiedice curățarea unei rețele deteriorate, ci ar putea afecta și tacticile de negociere dacă atacatorii citesc e-mailul victimei și rămân în avantaj.

Articolul precedent

3 moduri de a remedia eroarea dns lookup failed.

Articolul următor

Începerea unei echipe de esports este ușoară, dar țineți minte aceste sfaturi.

Poșta română

Lasă un răspuns