HTCinside
Når et selskap opplever enransomware angrep, tror mange at angripere raskt distribuerer og forlater løsepengevaren, slik at de ikke blir tatt. Dessverre er virkeligheten en helt annen fordi aktørene i trusselen ikke gir opp en ressurs så raskt at de har jobbet så hardt for å kontrollere den.
I stedet kjører løsepenge-angrep fra dag til måned over tid, og starter med at en løsepenge-operatør kommer inn på et nettverk.
Dette bruddet skyldes utsatte eksterne skrivebordstjenester, sårbarheter i VPN-programvaren eller ekstern tilgang fra skadelig programvare som TrickBot, Dridex og QakBot.
Når de har tilgang, bruker de verktøy som Mimikatz, PowerShell Empire, PSExec og andre for å samle tilkoblingsinformasjon og spre den sideveis over nettverket.
Når de får tilgang til datamaskiner på nettverket, bruker de denne legitimasjonen til å stjele ukrypterte filer fra sikkerhetskopieringsenheter og servere før løsepenge-angrepet skjer.
Etter at angrepet fant sted, rapporterte ofrene BleepingComputer at ransomware-operatører ikke er synlige, men at nettverket deres er i fare.
Troen er langt fra sannheten, som bevist av et nylig angrep fra Maze Ransomware-operatører.
Les –Forskere hacket Siri, Alexa og Google Home ved å skinne lasere på dem
Maze Ransomware-operatører annonserte nylig på deres datalekkasjeside at de har hacket seg inn i nettverket til et ST Engineering-datterselskap kalt VT San Antonio Aerospace (VT SAA). Det skumle med denne lekkasjen er at Maze har gitt ut et dokument som inneholder offerets IT-avdelingsrapport om løsepengevareangrepet hans.
Det stjålne dokumentet viser at Maze fortsatt var på nettverket sitt og fortsatte å spionere på selskapets stjålne filer mens etterforskningen av angrepet fortsatte. Denne kontinuerlige tilgangen er ikke uvanlig for denne typen angrep. McAfee sjefingeniør og cyberetterforskningsleder John Fokker
fortalte BleepingComputer at noen angripere leste ofrenes e-poster mens løsepengevareforhandlinger pågikk.
'Vi er klar over tilfeller der løsepengevarespillere forble på et offers nettverk etter å ha distribuert løsepengevare. I disse tilfellene krypterte angripere offerets sikkerhetskopier etter det første angrepet eller under forhandlinger som ble etterlatt. Selvfølgelig kunne angriperen fortsatt få tilgang til den og lese e-posten til offeret.
Les –Hackere utnytter frykten for koronaviruset for å lure brukere til å klikke på ondsinnede e-poster
Etter at et løsepenge-angrep er oppdaget, må et selskap først slå av nettverket og datamaskinene som kjører på det. Disse handlingene forhindrer kontinuerlig datakryptering og nekter angripere tilgang til systemet.
Når dette er fullført, bør selskapet ringe en leverandør av nettsikkerhet for å gjøre en grundig undersøkelse av angrepet og skanningen av alle interne og offentlige enheter.
Denne skanningen inkluderer skanning av selskapets enheter for å identifisere vedvarende infeksjoner, sårbarheter, svake passord og ondsinnede verktøy som er etterlatt av løsepengevareoperatører.
Offerets cyberforsikring dekker det meste av reparasjoner og etterforskning i mange av sakene.
Fokker og Vitali Kremez, styreleder for Advanced Intel, ga også noen ekstra tips og strategier for å korrigere et angrep.
'De mest betydningsfulle ransomware-angrepene involverer nesten alltid et fullstendig kompromiss av et offers nettverk, fra backupservere til domenekontrollere. Med full kontroll over et system kan trusselaktører enkelt deaktivere forsvaret og implementere løsepengevarene deres.
«Incident Response (IR)-team som er utsatt for slike dype forstyrrelser, må anta at angriperen fortsatt er på nettverket inntil det motsatte er bevist. Hovedsakelig betyr dette å velge en annen kommunikasjonskanal (ikke synlig for trusselaktøren) for å diskutere pågående IR-innsats. ”
'Det er viktig å merke seg at angripere allerede har skannet et offers Active Directory for å fjerne eventuelle gjenværende bakdørskontoer. De må gjøre en fullstendig AD-skanning, sa Fokker til BleepingComputer.
Kremez foreslo også en egen sikker kommunikasjonskanal og en lukket lagringskanal hvor data knyttet til undersøkelsen kan lagres.
Behandle løsepengevareangrep som datainnbrudd, forutsatt at angripere fortsatt kan være på nettverket, så ofre bør jobbe fra bunnen og opp, prøve å skaffe rettsmedisinske bevis som bekrefter eller ugyldiggjør hypotesen. Det inkluderer ofte en fullstendig rettsmedisinsk analyse av nettverksinfrastrukturen, med fokus på privilegerte kontoer. Sørg for at du har en forretningskontinuitetsplan for å ha en separat sikker lagrings- og kommunikasjonskanal (forskjellig infrastruktur) under den rettsmedisinske evalueringen, 'sa Kremez.
Fra bunnen og opp, prøv å skaffe rettsmedisinske bevis som bekrefter eller ugyldiggjør hypotesen. Det inkluderer ofte en fullstendig rettsmedisinsk analyse av nettverksinfrastrukturen, med fokus på privilegerte kontoer. Sørg for at du har en forretningskontinuitetsplan for å ha en separat sikker lagrings- og kommunikasjonskanal (forskjellig infrastruktur) under den rettsmedisinske evalueringen, 'sa Kremez.
Kremez fant ut at reimagining av enheter på et sårbart nettverk anbefales. Likevel er det kanskje ikke nok fordi angripere sannsynligvis vil ha full tilgang til nettverkslegitimasjon som kan brukes til et annet angrep.
'Ofrene har potensial til å installere maskiner og servere på nytt. Du bør imidlertid være klar over at den kriminelle allerede kan ha stjålet legitimasjonen. En enkel reinstallasjon er kanskje ikke nok. 'Kremez fortsatte.
Til syvende og sist er det viktig å anta at angripere sannsynligvis vil fortsette å overvåke et offers bevegelser selv etter et angrep.
Denne avlyttingen kan ikke bare hindre oppryddingen av et skadet nettverk, men kan også påvirke forhandlingstaktikken hvis angripere leser e-posten til et offer og holder seg i forkant.