HTCinside
Wenn ein Unternehmen aRansomware-Angriff, viele glauben, dass Angreifer die Ransomware schnell bereitstellen und verlassen, damit sie nicht erwischt werden. Leider sieht die Realität ganz anders aus, weil die Akteure in der Bedrohung eine Ressource nicht so schnell aufgeben, dass sie so hart daran gearbeitet haben, sie zu kontrollieren.
Stattdessen laufen Ransomware-Angriffe im Laufe der Zeit von Tag zu Monat, beginnend mit dem Eintritt eines Ransomware-Betreibers in ein Netzwerk.
Dieser Verstoß ist auf offengelegte Remote-Desktop-Dienste, Schwachstellen in der VPN-Software oder den Fernzugriff durch Malware wie TrickBot, Dridex und QakBot zurückzuführen.
Sobald sie Zugriff haben, verwenden sie Tools wie Mimikatz, PowerShell Empire, PSExec und andere, um Verbindungsinformationen zu sammeln und sie seitlich über das Netzwerk zu verteilen.
Wenn sie auf Computer im Netzwerk zugreifen, verwenden sie diese Anmeldeinformationen, um unverschlüsselte Dateien von Backup-Geräten und Servern zu stehlen, bevor der Ransomware-Angriff stattfindet.
Nachdem der Angriff stattgefunden hatte, berichteten die Opfer BleepingComputer, dass Ransomware-Betreiber nicht sichtbar seien, ihr Netzwerk aber dennoch gefährdet sei.
Dieser Glaube ist weit von der Wahrheit entfernt, wie ein kürzlich durchgeführter Angriff von Maze Ransomware-Betreibern zeigt.
Lesen -Forscher haben Siri, Alexa und Google Home gehackt, indem sie Laser auf sie gerichtet haben
Die Betreiber von Maze Ransomware gaben kürzlich auf ihrer Datenleck-Website bekannt, dass sie sich in das Netzwerk einer Tochtergesellschaft von ST Engineering namens VT San Antonio Aerospace (VT SAA) gehackt haben. Das Beängstigende an diesem Leck ist, dass Maze ein Dokument veröffentlicht hat, das den Bericht der IT-Abteilung des Opfers über seinen Ransomware-Angriff enthält.
Das gestohlene Dokument zeigt, dass Maze immer noch in seinem Netzwerk war und weiterhin die gestohlenen Dateien des Unternehmens ausspionierte, während die Untersuchung des Angriffs fortgesetzt wurde. Dieser kontinuierliche Zugriff ist für diese Art von Angriff nicht ungewöhnlich. McAfee-Chefingenieur und Cyber-Ermittlungsmanager John Fokker
sagte BleepingComputer, dass einige Angreifer die E-Mails der Opfer lasen, während Ransomware-Verhandlungen im Gange waren.
„Uns sind Fälle bekannt, in denen Ransomware-Spieler nach dem Einsatz ihrer Ransomware im Netzwerk eines Opfers geblieben sind. In diesen Fällen verschlüsselten Angreifer die Backups des Opfers nach dem ersten Angriff oder während der Verhandlungen und ließen sie zurück. Natürlich konnte der Angreifer immer noch darauf zugreifen und die E-Mail des Opfers lesen.
Lesen -Hacker nutzen die Angst vor dem Coronavirus aus, um Benutzer dazu zu bringen, auf schädliche E-Mails zu klicken
Nachdem ein Ransomware-Angriff erkannt wurde, muss ein Unternehmen zunächst sein Netzwerk und die darauf laufenden Computer herunterfahren. Diese Aktionen verhindern eine kontinuierliche Datenverschlüsselung und verweigern Angreifern den Zugriff auf das System.
Sobald dies abgeschlossen ist, sollte das Unternehmen einen Cybersicherheitsanbieter anrufen, um den Angriff gründlich zu untersuchen und alle internen und öffentlichen Geräte zu scannen.
Dieser Scan umfasst das Scannen der Geräte des Unternehmens, um hartnäckige Infektionen, Schwachstellen, schwache Passwörter und bösartige Tools zu identifizieren, die von Ransomware-Betreibern zurückgelassen wurden.
Die Cyber-Versicherung des Opfers deckt in vielen Fällen die meisten Reparaturen und Ermittlungen ab.
Fokker und Vitali Kremez, Vorsitzender von Advanced Intel, gaben außerdem einige zusätzliche Tipps und Strategien zur Abwehr eines Angriffs.
„Die bedeutendsten Ransomware-Angriffe auf Unternehmen beinhalten fast immer eine vollständige Kompromittierung des Netzwerks eines Opfers, von Backup-Servern bis hin zu Domänencontrollern. Mit der vollen Kontrolle über ein System können Bedrohungsakteure die Abwehr einfach deaktivieren und ihre Ransomware implementieren.
„Incident Response (IR)-Teams, die solch schwerwiegenden Eingriffen ausgesetzt sind, müssen davon ausgehen, dass sich der Angreifer noch im Netzwerk befindet, bis seine Schuld bewiesen ist. Dies bedeutet vor allem die Wahl eines anderen Kommunikationskanals (der für den Bedrohungsakteur nicht sichtbar ist), um laufende IR-Bemühungen zu besprechen. ”
„Es ist wichtig festzuhalten, dass Angreifer bereits das Active Directory eines Opfers gescannt haben, um alle verbleibenden Backdoor-Konten zu entfernen. Sie müssen einen vollständigen AD-Scan durchführen“, sagte Fokker gegenüber BleepingComputer.
Kremez schlug auch einen separaten sicheren Kommunikationskanal und einen geschlossenen Speicherkanal vor, in dem Daten im Zusammenhang mit der Umfrage gespeichert werden können.
Behandeln Sie Ransomware-Angriffe als Datenschutzverletzungen, vorausgesetzt, Angreifer befinden sich möglicherweise noch im Netzwerk. Opfer sollten also von unten nach oben vorgehen und versuchen, forensische Beweise zu erhalten, die die Hypothese bestätigen oder entkräften. Es umfasst häufig eine vollständige forensische Analyse der Netzwerkinfrastruktur mit Schwerpunkt auf privilegierten Konten. Stellen Sie sicher, dass Sie einen Business-Continuity-Plan haben, um während der forensischen Bewertung einen separaten sicheren Speicher- und Kommunikationskanal (andere Infrastruktur) zu haben “, sagte Kremez.
Versuchen Sie von Grund auf, forensische Beweise zu erhalten, die die Hypothese bestätigen oder entkräften. Es umfasst häufig eine vollständige forensische Analyse der Netzwerkinfrastruktur mit Schwerpunkt auf privilegierten Konten. Stellen Sie sicher, dass Sie einen Business-Continuity-Plan haben, um während der forensischen Bewertung einen separaten sicheren Speicher- und Kommunikationskanal (andere Infrastruktur) zu haben “, sagte Kremez.
Kremez stellte fest, dass die Neukonzeption von Geräten in einem anfälligen Netzwerk empfohlen wird. Dies reicht jedoch möglicherweise nicht aus, da Angreifer wahrscheinlich vollen Zugriff auf Netzwerkanmeldeinformationen haben, die für einen weiteren Angriff verwendet werden können.
„Opfer haben das Potenzial, Maschinen und Server neu zu installieren. Sie sollten sich jedoch darüber im Klaren sein, dass der Kriminelle die Zugangsdaten möglicherweise bereits gestohlen hat. Eine einfache Neuinstallation reicht möglicherweise nicht aus. „Kremez fuhr fort.
Letztendlich muss davon ausgegangen werden, dass Angreifer die Bewegungen eines Opfers auch nach einem Angriff wahrscheinlich weiterhin überwachen.
Dieses Abhören könnte nicht nur die Bereinigung eines beschädigten Netzwerks behindern, sondern auch die Verhandlungstaktik beeinträchtigen, wenn Angreifer die E-Mail eines Opfers lesen und einen Schritt voraus bleiben.