HTCinside
Kui ettevõttel on alunavara rünnak, usuvad paljud, et ründajad võtavad lunavara kiiresti kasutusele ja lahkuvad, nii et nad ei jää vahele. Kahjuks on tegelikkus hoopis teistsugune, sest ohus osalejad ei loobu ressursist nii kiiresti, et on selle kontrolli all hoidmiseks nii palju vaeva näinud.
Selle asemel jooksevad lunavararünnakud päevast kuusse aja jooksul, alustades lunavaraoperaatori sisenemisest võrku.
Selle rikkumise põhjuseks on paljastatud kaugtöölauateenused, VPN-tarkvara haavatavused või pahavara (nt TrickBot, Dridex ja QakBot) kaugjuurdepääs.
Kui neil on juurdepääs, kasutavad nad ühenduseteabe kogumiseks ja külgmiselt võrgus levitamiseks tööriistu, nagu Mimikatz, PowerShell Empire, PSExec ja teised.
Kui nad pääsevad juurde võrgus olevatele arvutitele, kasutavad nad seda mandaati, et varastada enne lunavararünnakut varukoopiaseadmetest ja -serveritest krüptimata faile.
Pärast rünnaku toimumist teatasid ohvrid BleepingComputerile, et lunavaraoperaatorid pole nähtavad, kuid siiski on nende võrk ohus.
Uskumus on tõest kaugel, nagu tõestab hiljutine Maze Ransomware operaatorite rünnak.
Loe -Teadlased häkkisid Siri, Alexa ja Google Home'i, särades neile laserid
Maze Ransomware operaatorid teatasid hiljuti oma andmelekke saidil, et on häkkinud ST Engineeringi tütarettevõtte VT San Antonio Aerospace (VT SAA) võrku. Selle lekke hirmutav on see, et Maze avaldas dokumendi, mis sisaldab ohvri IT-osakonna aruannet tema lunavararünnaku kohta.
Varastatud dokument näitab, et Maze oli endiselt oma võrgus ja jätkas ettevõtte varastatud failide järele luuramist, kuni rünnaku uurimine jätkus. Selline pidev juurdepääs ei ole seda tüüpi rünnakute puhul haruldane. McAfee peainsener ja küberuurimise juht John Fokker
ütles BleepingComputerile, et mõned ründajad lugesid ohvrite e-kirju ajal, mil lunavara läbirääkimised käisid.
'Oleme teadlikud juhtumitest, kus lunavaramängijad jäid pärast lunavara juurutamist ohvri võrku. Nendel juhtudel krüpteerisid ründajad ohvri varukoopiad pärast esialgset rünnakut või läbirääkimiste ajal. Loomulikult pääses ründaja sellele siiski juurde ja sai ohvri meili lugeda.
Loe -Häkkerid kasutavad koroonaviiruse hirmu ära, et meelitada kasutajaid klõpsama pahatahtlikel meilidel
Pärast lunavararünnaku avastamist peab ettevõte esmalt sulgema oma võrgu ja sellel töötavad arvutid. Need toimingud takistavad andmete pidevat krüpteerimist ja keelavad ründajatel juurdepääsu süsteemile.
Kui see on lõpule viidud, peaks ettevõte helistama küberturvalisuse pakkujale, et teha põhjalik uurimine rünnaku kohta ning kõigi sisemiste ja avalike seadmete skannimine.
See skannimine hõlmab ettevõtte seadmete skannimist, et tuvastada püsivad infektsioonid, haavatavused, nõrgad paroolid ja lunavaraoperaatorite poolt maha jäetud pahatahtlikud tööriistad.
Ohvri küberkindlustus katab paljudel juhtudel enamiku remondi- ja uurimistöödest.
Fokker ja Advanced Inteli esimees Vitali Kremez andsid ka mõned täiendavad näpunäited ja strateegiad rünnaku parandamiseks.
'Kõige olulisemad ettevõtte lunavararünnakud hõlmavad peaaegu alati ohvri võrgu täielikku kompromissi alates varuserveritest kuni domeenikontrolleriteni. Omades täielikku kontrolli süsteemi üle, saavad ohus osalejad kaitset kergesti keelata ja oma lunavara rakendada.
'Intsidentidele reageerimise (IR) meeskonnad, kes on allutatud nii sügavale sekkumisele, peavad eeldama, et ründaja on endiselt võrgus, kuni tema süü on tõestatud. Peamiselt tähendab see muu suhtluskanali (ohustajale mittenähtava) valimist, et arutada käimasolevaid IR jõupingutusi. ”
'Oluline on märkida, et ründajad on juba skanninud ohvri Active Directory, et eemaldada kõik järelejäänud tagaukse kontod. Nad peavad tegema täieliku AD-skannimise, ”ütles Fokker BleepingComputerile.
Kremez pakkus välja ka eraldi turvalise sidekanali ja suletud salvestuskanali, kuhu saab salvestada uuringuga seotud andmeid.
Käsitlege lunavararünnakuid kui andmete rikkumisi, eeldades, et ründajad võivad endiselt võrgus olla, nii et ohvrid peaksid töötama alt üles, püüdma hankida kohtuekspertiisi tõendeid, mis kinnitavad või tühistavad hüpoteesi. Sageli sisaldab see võrgu infrastruktuuri täielikku kohtuekspertiisi analüüsi, keskendudes privilegeeritud kontodele. Veenduge, et teil oleks kohtuekspertiisi hindamise ajal talitluspidevuse plaan, et omada eraldi turvalist salvestus- ja sidekanalit (erinev infrastruktuur),“ ütles Kremez.
Altpoolt püüdke hankida kohtuekspertiisi tõendeid, mis kinnitavad või tühistavad hüpoteesi. Sageli sisaldab see võrgu infrastruktuuri täielikku kohtuekspertiisi analüüsi, keskendudes privilegeeritud kontodele. Veenduge, et teil oleks kohtuekspertiisi hindamise ajal talitluspidevuse plaan, et omada eraldi turvalist salvestus- ja sidekanalit (erinev infrastruktuur),“ ütles Kremez.
Kremez leidis, et haavatavas võrgus olevate seadmete ümberkujundamine on soovitatav. Siiski ei pruugi sellest piisata, sest ründajatel on tõenäoliselt täielik juurdepääs võrgumandaatidele, mida saab kasutada mõne teise rünnaku jaoks.
'Ohvritel on võimalus masinaid ja servereid uuesti installida. Siiski peaksite teadma, et kurjategija võib olla juba volikirjad varastanud. Lihtne uuesti installimine ei pruugi olla piisav. 'Kremez jätkas.
Lõppkokkuvõttes on oluline eeldada, et ründajad jätkavad tõenäoliselt ohvri liikumiste jälgimist ka pärast rünnakut.
See pealtkuulamine võib mitte ainult takistada kahjustatud võrgu puhastamist, vaid võib mõjutada ka läbirääkimiste taktikat, kui ründajad loevad ohvri meili ja jäävad ette.