HTCinside


Οι χειριστές ransomware κρύβονται στο δίκτυό σας μετά την επίθεσή τους

Όταν μια εταιρεία αντιμετωπίζει αεπίθεση ransomware, πολλοί πιστεύουν ότι οι εισβολείς αναπτύσσουν γρήγορα και εγκαταλείπουν το ransomware, ώστε να μην συλληφθούν. Δυστυχώς, η πραγματικότητα είναι πολύ διαφορετική επειδή οι παράγοντες της απειλής δεν εγκαταλείπουν έναν πόρο τόσο γρήγορα που έχουν εργαστεί τόσο σκληρά για να τον ελέγξουν.

Αντίθετα, οι επιθέσεις ransomware εκτελούνται καθημερινά με την πάροδο του χρόνου, ξεκινώντας με την είσοδο ενός χειριστή ransomware σε ένα δίκτυο.

Αυτή η παράβαση οφείλεται σε εκτεθειμένες υπηρεσίες απομακρυσμένης επιφάνειας εργασίας, ευπάθειες στο λογισμικό VPN ή απομακρυσμένη πρόσβαση από κακόβουλο λογισμικό όπως το TrickBot, το Dridex και το QakBot.

Μόλις αποκτήσουν πρόσβαση, χρησιμοποιούν εργαλεία όπως το Mimikatz, το PowerShell Empire, το PSExec και άλλα για να συλλέξουν πληροφορίες σύνδεσης και να τις διαδώσουν πλευρικά σε όλο το δίκτυο.

Όταν έχουν πρόσβαση σε υπολογιστές στο δίκτυο, χρησιμοποιούν αυτό το διαπιστευτήριο για να κλέψουν μη κρυπτογραφημένα αρχεία από εφεδρικές συσκευές και διακομιστές πριν συμβεί η επίθεση ransomware.

Μετά την επίθεση, τα θύματα ανέφεραν στο BleepingComputer ότι οι χειριστές ransomware δεν είναι ορατοί, αλλά και πάλι το δίκτυό τους βρίσκεται σε κίνδυνο.
Η πεποίθηση απέχει πολύ από την αλήθεια, όπως αποδεικνύεται από μια πρόσφατη επίθεση από χειριστές Maze Ransomware.

Ανάγνωση -Ερευνητές χάκαραν το Siri, την Alexa και το Google Home με λάμποντας λέιζερ σε αυτά

Ο Maze συνέχισε να κλέβει αρχεία μετά την επίθεση ransomware

Οι χειριστές Maze Ransomware ανακοίνωσαν πρόσφατα στον ιστότοπο διαρροής δεδομένων τους ότι εισέβαλαν στο δίκτυο μιας θυγατρικής της ST Engineering που ονομάζεται VT San Antonio Aerospace (VT SAA). Το τρομακτικό με αυτή τη διαρροή είναι ότι ο Maze κυκλοφόρησε ένα έγγραφο που περιέχει την αναφορά του τμήματος πληροφορικής του θύματος σχετικά με την επίθεσή του με ransomware.

Το κλεμμένο έγγραφο δείχνει ότι ο Maze ήταν ακόμα στο δίκτυό του και συνέχιζε να κατασκοπεύει τα κλεμμένα αρχεία της εταιρείας, ενώ η έρευνα για την επίθεση συνεχιζόταν. Αυτή η συνεχής πρόσβαση δεν είναι ασυνήθιστη για αυτόν τον τύπο επίθεσης. Ο επικεφαλής μηχανικός της McAfee και διευθυντής έρευνας στον κυβερνοχώρο John Fokker

είπε στο BleepingComputer ότι ορισμένοι εισβολείς διάβασαν τα μηνύματα ηλεκτρονικού ταχυδρομείου των θυμάτων ενώ οι διαπραγματεύσεις για ransomware ήταν σε εξέλιξη.
«Γνωρίζουμε περιπτώσεις όπου οι παίκτες ransomware παρέμειναν στο δίκτυο ενός θύματος μετά την ανάπτυξη του ransomware τους. Σε αυτές τις περιπτώσεις, οι εισβολείς κρυπτογραφούσαν τα αντίγραφα ασφαλείας του θύματος μετά την αρχική επίθεση ή κατά τις διαπραγματεύσεις που άφησαν πίσω τους. Φυσικά, ο εισβολέας μπορούσε ακόμα να έχει πρόσβαση και να διαβάσει το email του θύματος.

Ανάγνωση -Οι χάκερ εκμεταλλεύονται τον φόβο του κορωνοϊού για να εξαπατήσουν τους χρήστες να κάνουν κλικ σε κακόβουλα email

Συμβουλή ειδικού

Αφού εντοπιστεί μια επίθεση ransomware, μια εταιρεία πρέπει πρώτα να κλείσει το δίκτυό της και τους υπολογιστές που λειτουργούν σε αυτό. Αυτές οι ενέργειες αποτρέπουν τη συνεχή κρυπτογράφηση δεδομένων και απαγορεύουν στους εισβολείς την πρόσβαση στο σύστημα.
Μόλις ολοκληρωθεί αυτό, η εταιρεία θα πρέπει να καλέσει έναν πάροχο κυβερνοασφάλειας για να κάνει μια διεξοδική έρευνα για την επίθεση και τη σάρωση όλων των εσωτερικών και δημόσιων συσκευών.

Αυτή η σάρωση περιλαμβάνει τη σάρωση των συσκευών της εταιρείας για τον εντοπισμό επίμονων μολύνσεων, τρωτών σημείων, αδύναμων κωδικών πρόσβασης και κακόβουλων εργαλείων που έχουν αφήσει πίσω τους χειριστές ransomware.

Η ασφάλεια στον κυβερνοχώρο του θύματος καλύπτει τις περισσότερες επισκευές και έρευνες σε πολλές από τις περιπτώσεις.

Ο Fokker και ο Vitali Kremez, Πρόεδρος της Advanced Intel, έδωσαν επίσης μερικές πρόσθετες συμβουλές και στρατηγικές για τη διόρθωση μιας επίθεσης.

«Οι πιο σημαντικές εταιρικές επιθέσεις ransomware περιλαμβάνουν σχεδόν πάντα έναν πλήρη συμβιβασμό του δικτύου ενός θύματος, από τους διακομιστές αντιγράφων ασφαλείας έως τους ελεγκτές τομέα. Με τον πλήρη έλεγχο ενός συστήματος, οι φορείς απειλών μπορούν εύκολα να απενεργοποιήσουν την άμυνα και να εφαρμόσουν το ransomware τους.

«Ομάδες απόκρισης περιστατικών (IR) που υπόκεινται σε τέτοια βαθιά παρέμβαση πρέπει να υποθέσουν ότι ο εισβολέας εξακολουθεί να βρίσκεται στο δίκτυο μέχρι να αποδειχθεί η ενοχή του. Κυρίως, αυτό σημαίνει την επιλογή ενός διαφορετικού καναλιού επικοινωνίας (που δεν είναι ορατό στον παράγοντα απειλής) για να συζητηθούν οι συνεχείς προσπάθειες IR. ”

«Είναι σημαντικό να σημειωθεί ότι οι εισβολείς έχουν ήδη σαρώσει την υπηρεσία καταλόγου Active Directory ενός θύματος για να αφαιρέσουν τυχόν λογαριασμούς backdoor που έχουν απομείνει. Πρέπει να κάνουν μια πλήρη σάρωση AD», είπε ο Fokker στο BleepingComputer.

Ο Kremez πρότεινε επίσης ένα ξεχωριστό κανάλι ασφαλούς επικοινωνίας και ένα κλειστό κανάλι αποθήκευσης όπου μπορούν να αποθηκευτούν τα δεδομένα που σχετίζονται με την έρευνα.

Αντιμετωπίστε τις επιθέσεις ransomware ως παραβιάσεις δεδομένων, υποθέτοντας ότι οι εισβολείς μπορεί να εξακολουθούν να βρίσκονται στο δίκτυο, επομένως τα θύματα θα πρέπει να εργαστούν από κάτω προς τα πάνω, να προσπαθήσουν να αποκτήσουν ιατροδικαστικά στοιχεία που επιβεβαιώνουν ή ακυρώνουν την υπόθεση. Συχνά περιλαμβάνει πλήρη εγκληματολογική ανάλυση της υποδομής δικτύου, με έμφαση σε προνομιούχους λογαριασμούς. Βεβαιωθείτε ότι έχετε ένα σχέδιο επιχειρηματικής συνέχειας για να έχετε ξεχωριστό ασφαλές κανάλι αποθήκευσης και επικοινωνίας (διαφορετική υποδομή) κατά τη διάρκεια της ιατροδικαστικής αξιολόγησης», είπε ο Kremez.

Από κάτω προς τα πάνω, προσπαθήστε να αποκτήσετε ιατροδικαστικά στοιχεία που επιβεβαιώνουν ή ακυρώνουν την υπόθεση. Συχνά περιλαμβάνει πλήρη εγκληματολογική ανάλυση της υποδομής δικτύου, με έμφαση σε προνομιούχους λογαριασμούς. Βεβαιωθείτε ότι έχετε ένα σχέδιο επιχειρηματικής συνέχειας για να έχετε ξεχωριστό κανάλι ασφαλούς αποθήκευσης και επικοινωνίας (διαφορετική υποδομή) κατά τη διάρκεια της ιατροδικαστικής αξιολόγησης», είπε ο Kremez.

Ο Kremez διαπίστωσε ότι συνιστάται ο επανασχεδιασμός συσκευών σε ένα ευάλωτο δίκτυο. Ωστόσο, μπορεί να μην είναι αρκετό επειδή οι εισβολείς είναι πιθανό να έχουν πλήρη πρόσβαση σε διαπιστευτήρια δικτύου που μπορούν να χρησιμοποιηθούν για άλλη επίθεση.
«Τα θύματα έχουν τη δυνατότητα να επανεγκαταστήσουν μηχανήματα και διακομιστές. Ωστόσο, θα πρέπει να γνωρίζετε ότι ο εγκληματίας μπορεί να έχει ήδη κλέψει τα διαπιστευτήρια. Μια απλή επανεγκατάσταση μπορεί να μην είναι αρκετή. «Ο Κρεμέζ συνέχισε.

Τελικά, είναι σημαντικό να υποθέσουμε ότι οι επιτιθέμενοι είναι πιθανό να συνεχίσουν να παρακολουθούν τις κινήσεις ενός θύματος ακόμη και μετά από μια επίθεση.

Αυτή η υποκλοπή όχι μόνο θα μπορούσε να εμποδίσει την εκκαθάριση ενός κατεστραμμένου δικτύου, αλλά θα μπορούσε επίσης να επηρεάσει τις τακτικές διαπραγμάτευσης εάν οι εισβολείς διαβάσουν το email ενός θύματος και παραμείνουν μπροστά.