HTCinside
Когда компания переживаетатака программ-вымогателей, многие считают, что злоумышленники быстро развертывают и покидают программу-вымогатель, поэтому их не поймают. К сожалению, в действительности все обстоит иначе, потому что участники угрозы не отказываются от ресурса так быстро, если они так усердно работали над его контролем.
Вместо этого атаки программ-вымогателей происходят изо дня в день с течением времени, начиная с проникновения оператора программы-вымогателя в сеть.
Это нарушение связано с открытыми службами удаленного рабочего стола, уязвимостями в программном обеспечении VPN или удаленным доступом вредоносных программ, таких как TrickBot, Dridex и QakBot.
Получив доступ, они используют такие инструменты, как Mimikatz, PowerShell Empire, PSExec и другие, для сбора информации о подключении и распространения ее по сети.
Когда они получают доступ к компьютерам в сети, они используют эти учетные данные для кражи незашифрованных файлов с устройств резервного копирования и серверов до того, как произойдет атака программ-вымогателей.
После атаки пострадавшие сообщили BleepingComputer, что операторов-вымогателей не видно, но тем не менее их сеть находится под угрозой.
Вера далека от истины, о чем свидетельствует недавняя атака операторов Maze Ransomware.
Читать -Исследователи взломали Siri, Alexa и Google Home, посветив на них лазером
Операторы Maze Ransomware недавно объявили на своем сайте утечки данных, что они взломали сеть дочерней компании ST Engineering под названием VT San Antonio Aerospace (VT SAA). Самое страшное в этой утечке то, что Maze опубликовал документ, содержащий отчет ИТ-отдела жертвы о его атаке программы-вымогателя.
Украденный документ показывает, что Мейз все еще был в своей сети и продолжал шпионить за украденными файлами компании, пока продолжалось расследование атаки. Такой непрерывный доступ не является чем-то необычным для этого типа атаки. Главный инженер McAfee и руководитель отдела киберрасследований Джон Фоккер
сообщил BleepingComputer, что некоторые злоумышленники читают электронные письма жертв, пока продолжаются переговоры о вымогательстве.
«Нам известны случаи, когда игроки-вымогатели оставались в сети жертвы после развертывания своей программы-вымогателя. В этих случаях злоумышленники шифровали резервные копии жертвы после первоначальной атаки или во время оставленных переговоров. Конечно, злоумышленник все еще мог получить к нему доступ и прочитать электронную почту жертвы.
Читать -Хакеры используют страх перед коронавирусом, чтобы заставить пользователей щелкать вредоносные электронные письма.
После обнаружения атаки программы-вымогателя компания должна сначала отключить свою сеть и работающие в ней компьютеры. Эти действия предотвращают непрерывное шифрование данных и блокируют доступ злоумышленников к системе.
Как только это будет завершено, компания должна позвонить поставщику кибербезопасности, чтобы провести тщательное расследование атаки и сканирование всех внутренних и общедоступных устройств.
Это сканирование включает сканирование устройств компании для выявления постоянных заражений, уязвимостей, слабых паролей и вредоносных инструментов, оставленных операторами программ-вымогателей.
Во многих случаях киберстраховка жертвы покрывает большую часть ремонта и расследования.
Фоккер и Виталий Кремез, председатель Advanced Intel, также дали несколько дополнительных советов и стратегий по устранению атаки.
«Наиболее серьезные корпоративные атаки программ-вымогателей почти всегда связаны с полной компрометацией сети жертвы, от серверов резервного копирования до контроллеров домена. Имея полный контроль над системой, злоумышленники могут легко отключить защиту и внедрить программу-вымогатель.
«Команды реагирования на инциденты (IR), которые подвергаются такому серьезному вмешательству, должны исходить из того, что злоумышленник все еще находится в сети, пока его вина не будет доказана. В основном это означает выбор другого канала связи (невидимого для злоумышленника) для обсуждения текущих усилий по IR. ”
«Важно отметить, что злоумышленники уже просканировали Active Directory жертвы, чтобы удалить все оставшиеся бэкдор-аккаунты. Они должны провести полное сканирование AD», — сказал Фоккер BleepingComputer.
Кремез также предложил отдельный безопасный канал связи и закрытый канал хранения, где могут храниться данные, связанные с опросом.
Рассматривайте атаки программ-вымогателей как утечку данных, предполагая, что злоумышленники все еще могут быть в сети, поэтому жертвы должны работать снизу вверх, пытаясь получить доказательства судебной экспертизы, которые подтверждают или опровергают гипотезу. Он часто включает в себя полный криминалистический анализ сетевой инфраструктуры с акцентом на привилегированные учетные записи. Убедитесь, что у вас есть план обеспечения непрерывности бизнеса, чтобы иметь отдельное защищенное хранилище и канал связи (другую инфраструктуру) во время судебной экспертизы», — сказал Кремез.
Снизу вверх попытайтесь получить судебно-медицинские доказательства, подтверждающие или опровергающие гипотезу. Он часто включает в себя полный криминалистический анализ сетевой инфраструктуры с акцентом на привилегированные учетные записи. Убедитесь, что у вас есть план обеспечения непрерывности бизнеса, чтобы иметь отдельное защищенное хранилище и канал связи (другую инфраструктуру) во время судебной экспертизы», — сказал Кремез.
Кремез обнаружил, что рекомендуется переосмыслить устройства в уязвимой сети. Тем не менее, этого может быть недостаточно, поскольку злоумышленники, скорее всего, будут иметь полный доступ к сетевым учетным данным, которые можно использовать для другой атаки.
«Жертвы могут переустанавливать машины и серверы. Однако вы должны знать, что преступник, возможно, уже украл учетные данные. Простой переустановки может быть недостаточно. «Кремез продолжил.
В конечном счете, важно предположить, что злоумышленники, вероятно, продолжат следить за движениями жертвы даже после атаки.
Это прослушивание может не только помешать очистке поврежденной сети, но также может повлиять на тактику переговоров, если злоумышленники прочитают электронную почту жертвы и останутся впереди.