HTCinside
Коли компанія переживає аатака програм-вимагачів, багато хто вважає, що зловмисники швидко розгортають і залишають програму-вимагач, щоб їх не спіймали. На жаль, реальність зовсім інша, тому що учасники загрози не відмовляються від ресурсу так швидко, що вони так важко працювали, щоб контролювати його.
Натомість атаки програм-вимагачів відбуваються щомісяця, починаючи з входу оператора програм-вимагачів у мережу.
Це порушення пов’язане з відкритими службами віддаленого робочого столу, уразливістю програмного забезпечення VPN або віддаленим доступом зловмисних програм, таких як TrickBot, Dridex і QakBot.
Отримавши доступ, вони використовують такі інструменти, як Mimikatz, PowerShell Empire, PSExec та інші, щоб збирати інформацію про підключення та розповсюджувати її в мережі.
Коли вони отримують доступ до комп’ютерів у мережі, вони використовують ці облікові дані, щоб викрасти незашифровані файли з пристроїв резервного копіювання та серверів до того, як відбудеться атака програм-вимагачів.
Після атаки жертви повідомили BleepingComputer, що оператори програм-вимагачів не видно, але все одно їхня мережа під загрозою.
Це переконання далеке від істини, про що свідчить нещодавня атака операторів Maze Ransomware.
Читати –Дослідники зламали Siri, Alexa та Google Home, посвітивши на них лазерами
Оператори Maze Ransomware нещодавно оголосили на своєму сайті витоку даних, що вони зламали мережу дочірньої компанії ST Engineering під назвою VT San Antonio Aerospace (VT SAA). Страшне в цьому витоку те, що Мейз опублікував документ, який містить звіт ІТ-відділу жертви про його атаку програм-вимагачів.
Викрадений документ показує, що Мейз все ще був у своїй мережі та продовжував стежити за викраденими файлами компанії, поки тривало розслідування атаки. Цей постійний доступ не є рідкістю для цього типу атак. Джон Фоккер, головний інженер McAfee і керівник кіберрозслідувань
розповів BleepingComputer, що деякі зловмисники читали електронні листи жертв, поки тривали переговори щодо програм-вимагачів.
«Нам відомі випадки, коли програми-вимагачі залишалися в мережі жертви після розгортання програм-вимагачів. У цих випадках зловмисники шифрували резервні копії жертви після початкової атаки або під час переговорів, що залишилися позаду. Звичайно, зловмисник все ще міг отримати до нього доступ і прочитати електронну пошту жертви.
Читати –Хакери використовують страх перед коронавірусом, щоб обманом змусити користувачів натискати шкідливі електронні листи
Після виявлення атаки програм-вимагачів компанія повинна спочатку вимкнути свою мережу та запущені в ній комп’ютери. Ці дії запобігають постійному шифруванню даних і забороняють зловмисникам доступ до системи.
Коли це буде завершено, компанія повинна зателефонувати постачальнику кібербезпеки для проведення ретельного розслідування атаки та сканування всіх внутрішніх і загальнодоступних пристроїв.
Це сканування включає сканування пристроїв компанії для виявлення постійних інфекцій, уразливостей, слабких паролів і шкідливих інструментів, залишених операторами програм-вимагачів.
Кіберстрахування жертви покриває більшість ремонту та розслідування в багатьох випадках.
Фоккер і Віталій Кремез, голова Advanced Intel, також дали кілька додаткових порад і стратегій для усунення атаки.
«Найбільш значні корпоративні атаки програм-вимагачів майже завжди включають повну компрометацію мережі жертви, від резервних серверів до контролерів домену. Маючи повний контроль над системою, зловмисники можуть легко вимкнути захист і запровадити програмне забезпечення-вимагач.
«Важливо зазначити, що зловмисники вже просканували Active Directory жертви, щоб видалити будь-які бекдорні облікові записи, що залишилися. Вони повинні виконати повне сканування AD», — сказав Фоккер BleepingComputer.
Кремез також запропонував окремий захищений канал зв’язку та закритий канал зберігання, де можна зберігати дані, пов’язані з опитуванням.
Розглядайте атаки програм-вимагачів як витік даних, припускаючи, що зловмисники все ще можуть перебувати в мережі, тому жертви повинні працювати знизу вгору, намагаючись отримати судові докази, які підтверджують або спростовують гіпотезу. Він часто включає повний криміналістичний аналіз мережевої інфраструктури з акцентом на привілейованих облікових записах. Переконайтеся, що у вас є план безперервності бізнесу, щоб мати окреме безпечне сховище та канал зв’язку (інша інфраструктура) під час криміналістичної оцінки», – сказав Кремез.
Знизу вгору спробуйте отримати судово-медичні докази, які підтверджують або спростовують гіпотезу. Він часто включає повний криміналістичний аналіз мережевої інфраструктури з акцентом на привілейованих облікових записах. Переконайтеся, що у вас є план безперервності бізнесу, щоб мати окреме безпечне сховище та канал зв’язку (інша інфраструктура) під час криміналістичної оцінки», – сказав Кремез.
Кремез виявив, що рекомендується переосмислити пристрої в уразливій мережі. Проте цього може бути недостатньо, оскільки зловмисники, швидше за все, матимуть повний доступ до мережевих облікових даних, які можуть бути використані для іншої атаки.
«Жертви можуть перевстановити машини та сервери. Однак ви повинні знати, що злочинець, можливо, вже вкрав облікові дані. Простого перевстановлення може бути недостатньо. – продовжив Кремез.
Зрештою, важливо припустити, що нападники, ймовірно, продовжуватимуть стежити за рухами жертви навіть після нападу.
Це підслуховування може не тільки перешкодити очищенню пошкодженої мережі, але й може вплинути на тактику переговорів, якщо зловмисники прочитають електронну пошту жертви та залишаться попереду.