亚美国际官网勒索软件组织继续以医疗行业和关

原创 2020-06-01 13:30  阅读

  COVID-19全球大流行,让远程工作变得越来越普遍,全球的商业领袖被迫对他们的基础设施进行通宵更改,IT主管和安全运营团队面临巨大的压力。然而,勒索软件组织并没有停止,攻击持续增长。

  黑客入侵后,可在环境中保持相对休眠状态,直到他们确定了部署勒索软件的适当时机。

  攻击者经常使用工具(例如Mimikatz和Cobalt Strike)窃取凭证,横向移动,网络侦察和泄露数据。在这些活动中,黑客可以访问特权较高的管理员凭据,并准备在受到干扰时采取可能更具破坏性的措施。

  在攻击者部署了勒索软件的网络上,他们故意在某些端点上维护其存在,目的是在支付赎金或重建系统后重新启动恶意活动。我们观察到几乎所有的黑客组织在攻击过程中都在查看和窃取数据,随后他们可以在暗网中将公司的网络访问凭据出售,再次获利。

  尽管个别活动和勒索软件系列具有以下各节所述的独特属性,但这些勒索软件活动往往结合了人工投毒攻击,它们通常采用了类似的攻击战术,至于执行的Payload,完全取决于其个人风格。

  RobbinHood勒索软件会利用易受攻击的驱动程序来关闭安全软件,它们通常对暴露资产进行远程桌面爆破。亚美国际官网他们最终获得特权凭证,主要是具有共享或通用密码的本地管理员帐户,以及具有域管理员特权的服务帐户。像Ryuk和其他广为宣传的勒索软件组一样,RobbinHood运营商会留下新的本地和Active Directory用户帐户,以便在删除恶意软件和工具后重新获得访问权限。

  攻击者通常会转移基础结构,技术和工具,以避开执法部门或安全研究人员的调查。Vatet是Cobalt Strike框架的自定义加载程序,早在2018年11月就已在勒索软件活动中出现,它是最近活动中浮出水面的工具之一。

  该工具背后的小组似乎特别针对医院,援助组织,生物制药,医疗设备制造商和其他关键行业。他们是这段时间里最多产的勒索软件运营商之一,已经造成了数十起案件。为了访问目标网络,他们利用CVE-2019-19781,RDP爆破并发送包含启动恶意PowerShell命令的.lnk文件的电子邮件。一旦进入网络,他们就会窃取凭据(包括存储在凭据管理器库中的凭据),并横向移动直到获得域管理员权限。

  NetWalker运营商发送大量的COVID-19信息的钓鱼邮件,来锁定医院和医疗保健商。这些电子邮件包含了恶意.vbs附件。除此之外,他们还使用错误配置的基于IIS的应用程序来启动Mimikatz并窃取凭据,从而破坏了网络,他们随后又使用这些凭据来启动PsExec,并最终部署了NetWalker勒索软件。

  这种基于Java的勒索软件被认为是新颖的,但是活动并不罕见。其经营者入侵了面向互联网的Web系统,并获得了特权凭证。为了建立持久性,他们使用PowerShell命令启动系统工具mshta.exe,并基于常见的PowerShell攻击框架设置反向shell。他们还使用合法的工具来维护远程桌面连接。

  Maze是首批出售被盗数据的勒索软件,Maze继续以技术提供商和公共服务为目标。Maze有攻击托管服务提供商(MSP)来访问MSP客户数据和网络的记录。

  Maze通过电子邮件发送,其运营商在使用通用媒介(例如RDP爆破)获得访问权限后,将Maze部署到了网络。一旦进入网络,他们就会窃取凭证,横向移动以访问资源并窃取数据,然后部署勒索软件。

  窃取凭证获得对域管理员帐户的控制权之后,勒索软件运营商使用Cobalt Strike,PsExec和大量其他工具来部署各种payload并访问数据。他们使用计划任务和服务建立了无文件持久化,这些任务和服务启动了基于PowerShell的远程Shell。他们还使用被盗的域管理员权限打开Windows远程管理以进行持久控制。为了削弱安全控制以准备勒索软件部署,他们通过组策略操纵了各种设置。

  REvil(也称为Sodinokibi)可能是第一个利用Pulse VPN中的网络设备漏洞窃取凭据以访问网络的勒索软件,Sodinokibi访问MSP以及访问客户的网络后,盗窃并出售客户的文档和访问权,声名狼藉。在COVID-19危机期间,他们继续开展这项活动,以MSP和其他组织(例如地方政府)为目标。REvil在漏洞利用方面与其它组织有所不同,但攻击手法与许多其他组织类似,它们曾经依赖于像Mimikatz这样的凭据盗窃工具和PsExec等工具进行横向移动和侦察。

  Paradise,曾经直接通过电子邮件分发,但现在用人工投毒勒索软件攻击(Bitdefender已推出免费的解密工具)

  我们强烈建议组织立即检查是否有与这些勒索软件攻击有关的警报,并优先进行调查和补救。防御者应注意的与这些攻击有关的恶意行为包括:

  任何篡改安全事件日志,取证工件,例如USNJournal或安全代理的行为

  如果您的网络受到影响,请立即执行以下范围和调查活动,以了解此安全事件的影响。仅仅使用危害指标,payload,可疑文件来确定这些威胁的影响并不是一个持久的解决方案,因为大多数勒索软件活动都为活动使用“一次性”套件,一旦确定了安全软件具有检测能力,便经常更改其工具和系统。

  调查受这些攻击影响的端点,并标识这些端点上存在的所有凭据。假定攻击者可以使用这些凭据,并且所有关联帐户都受到了威胁。请注意,攻击者不仅可以转储已登录交互式或RDP会话的帐户的凭据,还可以转储存储在注册表的LSA Secrets部分中的服务帐户和计划任务的缓存的凭据和密码。

  检查Windows事件日志中是否存在泄漏后登录,查看审核失败事件,查看事件ID为4624,登录类型为2或10的事件。对于其他任何时间范围,请检查登录类型4或5。

  从管理控制台中立即隔离可疑的或已成为横向移动目标的端点,或使用高级搜寻语法查询搜索相关IOC的方法找到这些端点,从已知的受影响的端点寻找横向运动。

  您可以使用Bitdefender漏洞扫描与补丁管理,风险管理来修复端点的漏洞,配置错误:

  计划漏洞扫描和安装补丁,主动发现资产的漏洞清单,确定优先级,自动修复操作系统和第三方程序漏洞,Bitdefender允许安全管理员和IT管理员无缝协作以解决问题。

  设置风险扫描计划,主动评估端点的攻击面,例如:Windows安全基线扫描,配置错误,程序漏洞等

  许多勒索软件运营商通过Emotet和Trickbot等恶意软件感染,然后进入目标网络。这些恶意软件家族通常被认为是银行木马,已被用来提供各种payload,包括持久化工件。研究和补救任何已知的感染,并认为它们可能是复杂的人类对手的病媒。在重建受影响的端点或重置密码之前,请确保检查暴露的凭据,其他payload和横向移动。

  勒索软件运营商仍在不断挖掘新的攻击目标,防御者应使用所有可用工具主动评估风险。您应该继续执行经过验证的预防性解决方案- 设置复杂的密码,并定期更改,最小特权,保持操作系统和应用程序最新,安装超一流的反病毒软件,保持更新,系统遵循Windows安全基线设置,配置防火墙,执行备份- 来阻止这些攻击,利用监视工具不断改善安全。

  配置内网的计算机通过Bitdefender中继转发云安全查询,以获取最新的威胁情报,涵盖快速发展的攻击工具和技术。基于云的机器学习保护可阻止绝大多数新的和未知的变种。

  开启Bitdefender的高级威胁防护,网络攻击防护,无文件攻击防护,HyperDetect可调节机器学习,云沙盒,高级反漏洞利用模块,从各个维度屏蔽黑客的活动

  人工投毒勒索软件攻击代表了不同级别的威胁,因为攻击者擅长于系统管理和发现安全配置错误,因此可以以最小路径快速入侵。如果碰壁,他们可以熟练地尝试其它方法突破。总而言之,人工投毒勒索软件攻击是非常复杂的,没有两次攻击是完全相同的。

  Bitdefender GravityZone提供了协调的防御,Bitdefender具有世界顶级的预防技术,可以发现完整的攻击链并自动阻止复杂的攻击,例如人工投毒的勒索软件。

  Bitdefender GravityZone从端点、网络、云等等多个维度,全方位洞察整个基础架构中的所有网络攻击和可疑活动,实时阻止恶意威胁和流量。

  通过内置的智能,自动化和SIEM集成,Bitdefender GravityZone可以阻止攻击,消除其持久性并自动修复受影响的资产,主动评估资产的攻击面,协助您自动修复。它可以关联传感器并合并警报,以帮助防御者确定事件的优先级以进行调查和响应。Bitdefender GravityZone还提供了独特的事件搜寻功能,可以进一步帮助防御者识别攻击蔓延并获得组织特定的见解以加强防御。

版权声明:本文为原创文章,版权归 亚美am8平台 所有,欢迎分享本文,转载请保留出处!
上一篇:望城软件园挂牌成立并出台软件和信息技术服务
下一篇:亚美国际官网厦门重点软件和信息技术服务企业