• 06-022020
  • 勒索软件组织继续以医疗行业和关键分分彩注册 <<返回

      COVID-19环球大大作,让长途事情变得越来越集体,环球的贸易党魁被迫对他们的根基举措举行彻夜更改,IT主管和安适运营团队面对雄伟的压力。然而,恐吓软件机闭并没有遏制,攻击接连延长。

      黑客入侵后,可正在情况中连结相对歇眠状况,直到他们确定了计划恐吓软件的合适机缘。

      攻击者每每应用器材(比方Mimikatz和Cobalt Strike)偷取凭证,横向挪动,收集视察和揭露数据。正在这些举止中,黑客可能拜候特权较高的执掌员根据,并企图正在受到滋扰时采纳能够更具妨害性的手腕。

      正在攻击者计划了恐吓软件的收集上,他们居心正在某些端点上维持其存正在,目标是正在支出赎金或重筑体系后从新启动恶意举止。咱们侦察到险些通盘的黑客机闭正在攻击流程中都正在查看和偷取数据,随后他们可能正在暗网中将公司的收集拜候根据出售,再次赚钱。

      只管个人举止和恐吓软件系列具有以下各节所述的怪异属性,但这些恐吓软件举止往往勾结了人工投毒攻击,它们平常采用了相像的攻击兵法,至于推行的Payload,一律取决于其一面格调。

      RobbinHood恐吓软件会愚弄易受攻击的驱动步调来封闭安适软件,它们平常对泄漏资产举行长途桌面爆破。他们最终获取特权凭证,苛重是具有共享或通用暗码的当地执掌员帐户,以及具有域执掌员特权的供职帐户。像Ryuk和其他广为宣扬的恐吓软件组雷同,RobbinHood运营商会留下新的当地和Active Directory用户帐户,以便正在删除恶意软件和器材后从新获取拜候权限。

      攻击者平常会变化根基机闭,工夫和器材,以避开法律部分或安适探讨职员的探问。Vatet是Cobalt Strike框架的自界说加载步调,早正在2018年11月就已正在恐吓软件举止中闪现,它是比来举止中浮出水面的器材之一。

      该器材背后的小组好似非常针对病院,援助机闭,生物制药,医疗配置创筑商和其他闭头行业。他们是这段光阴里最众产的恐吓软件运营商之一,一经形成了数十起案件。为了拜候对象收集,他们愚弄CVE-2019-19781,RDP爆破并发送包括启动恶意PowerShell下令的.lnk文献的电子邮件。一朝进入收集,他们就会偷取根据(网罗存储正在根据执掌器库中的根据),并横向挪动直到获取域执掌员权限。

      NetWalker运营商发送巨额的COVID-19消息的垂纶邮件,来锁定病院和医疗保健商。这些电子邮件包括了恶意.vbs附件。除此以外,他们还应用差池设备的基于IIS的利用步调来启动Mimikatz并偷取根据,从而妨害了收集,他们随后又应用这些根据来启动PsExec,并最终计划了NetWalker恐吓软件。

      这种基于Java的恐吓软件被以为是新奇的,不过举止并不罕睹。其谋划者入侵了面向互联网的Web体系,并获取了特权凭证。为了筑造经久性,他们应用PowerShell下令启动体系器材mshta.exe,并基于常睹的PowerShell攻击框架扶植反向shell。他们还应用合法的器材来维持长途桌面连绵。

      Maze是首批出售被盗数据的恐吓软件,Maze陆续以工夫供给商和民众供职为对象。Maze有攻击托管供职供给商(MSP)来拜候MSP客户数据和收集的记实。

      Maze通过电子邮件发送,其运营商正在应用通用引子(比方RDP爆破)获取拜候权限后,将Maze计划到了收集。一朝进入收集,他们就会偷取凭证,横向挪动以拜候资源并偷取数据,然后计划恐吓软件。

      偷取凭证获取对域执掌员帐户的限度权之后,恐吓软件运营商应用Cobalt Strike,PsExec和巨额其他器材来计划种种payload并拜候数据。他们应用设计职分和供职筑造了无文献经久化,这些职分和供职启动了基于PowerShell的长途Shell。他们还应用被盗的域执掌员权限翻开Windows长途执掌以举行经久限度。为了衰弱安适限度以企图恐吓软件计划,他们通过组战术独霸了种种扶植。

      REvil(也称为Sodinokibi)能够是第一个愚弄Pulse VPN中的收集配置欠缺偷取根据以拜候收集的恐吓软件,Sodinokibi拜候MSP以及拜候客户的收集后,偷盗并出售客户的文档和拜候权,臭名远扬。正在COVID-19危殆时期,他们陆续发展这项举止,以MSP和其他机闭(比方地方政府)为对象。REvil正在欠缺愚弄方面与其它机闭有所差异,但攻击手段与很众其他机闭相像,它们一经依赖于像Mimikatz如此的根据偷盗器材和PsExec等器材举行横向挪动和视察。

      Paradise,一经直接通过电子邮件分发,但现正在用人工投毒恐吓软件攻击(Bitdefender已推出免费的解密器材)

      咱们剧烈倡议机闭顿时查抄是否有与这些恐吓软件攻击相闭的警报,并优进步行探问和拯救。防御者应防卫的与这些攻击相闭的恶意活动网罗:

      任何窜改安适事变日记,取证工件,比方USNJournal或安适署理的活动

      若是您的收集受到影响,请顿时推行以下畛域和探问举止,以明白此安适事变的影响。仅仅应用风险目标,payload,可疑文献来确定这些威逼的影响并不是一个经久的管理计划,由于大大批恐吓软件举止都为举止应用“一次性”套件,一朝确定了安适软件具有检测才力,便每每更改其器材和体系。

      探问受这些攻击影响的端点,并标识这些端点上存正在的通盘根据。假定攻击者可能应用这些根据,而且所相闭联帐户都受到了威逼。请防卫,攻击者不但可能转储已登录交互式或RDP会话的帐户的根据,还可能转蓄积储正在注册外的LSA Secrets一面中的供职帐户和设计职分的缓存的根据和暗码。

      查抄Windows事变日记中是否存正在流露后登录,查看审核障碍事变,查看事变ID为4624,登录类型为2或10的事变。对待其他任何光阴畛域,请查抄登录类型4或5。

      从执掌限度台中顿时断绝可疑的或已成为横向挪动对象的端点,或应用高级搜求语法盘查查找相干IOC的门径找到这些端点,从已知的受影响的端点寻找横向运动。

      您可能应用Bitdefender欠缺扫描与补丁执掌,危急执掌来修复端点的欠缺,设备差池:

      设计欠缺扫描和装置补丁,主动出现资产的欠缺清单,确定优先级,自愿修复操作体系和第三方步调欠缺,Bitdefender承诺安适执掌员和IT执掌员无缝合作以管理题目。

      扶植危急扫描设计,主动评估端点的攻击面,比方:Windows安适基线扫描,设备差池,步调欠缺等

      很众恐吓软件运营商通过Emotet和Trickbot等恶意软件感导,然晚进入对象收集。这些恶意软件家族平常被以为是银行木马,已被用来供给种种payload,网罗经久化工件。探讨和拯救任何已知的感导,并以为它们能够是庞大的人类敌手的病媒。分分彩注册正在重筑受影响的端点或重置暗码之前,请确保查抄泄漏的根据,其他payload和横向挪动。

      恐吓软件运营商仍正在持续发掘新的攻击对象,防御者应应用通盘可用器材主动评估危急。您该当陆续推行通过验证的防御性管理计划- 扶植庞大的暗码,并按期更改,最小特权,连结操作体系和利用步调最新,装置超一流的反病毒软件,连结更新,体系遵照Windows安适基线扶植,设备防火墙,推行备份- 来禁止这些攻击,愚弄看管器材持续革新安适。

      设备内网的企图机通过Bitdefender中继转发云安适盘查,以获取最新的威逼谍报,涵盖疾速起色的攻击器材和工夫。基于云的呆板进修掩护可禁止绝大大批新的和未知的变种。

      开启Bitdefender的高级威逼防护,收集攻击防护,无文献攻击防护,HyperDetect可安排呆板进修,云沙盒,高级反欠缺愚弄模块,从各个维度障蔽黑客的举止

      人工投毒恐吓软件攻击代外了差异级其它威逼,由于攻击者擅善于体系执掌和出现安适设备差池,因而可能以最小径径疾速入侵。若是碰鼻,他们可能熟练地试验其它门径冲破。总而言之,人工投毒恐吓软件攻击短长常庞大的,没有两次攻击是一律相似的。

      Bitdefender GravityZone供给了和谐的防御,Bitdefender具有全邦顶级的防御工夫,可能出现完美的攻击链并自愿禁止庞大的攻击,比方人工投毒的恐吓软件。

      Bitdefender GravityZone从端点、收集、云等等众个维度,全方位洞察全豹根基架构中的通盘收集攻击和可疑举止,及时禁止恶意威逼和流量。

      通过内置的智能,自愿化和SIEM集成,Bitdefender GravityZone可能禁止攻击,排斥其经久性并自愿修复受影响的资产,主动评估资产的攻击面,协助您自愿修复。它可能相闭传感器并兼并警报,以助助防御者确定事变的优先级以举行探问和呼应。Bitdefender GravityZone还供给了怪异的事变搜求成效,可能进一步助助防御者识别攻击伸张并获取机闭特定的成睹以增强防御。