HTCinside


ランサムウェア オペレーターは、攻撃後にネットワークに隠れます

企業が何かを経験している時ランサムウェア攻撃、多くの人は、攻撃者がランサムウェアをすぐに展開して離れるので、捕まらないと信じています.残念ながら、現実は大きく異なります。なぜなら、脅威のアクターはリソースを手放すのが早すぎて、リソースを制御しようと懸命に努力したわけではないからです。

代わりに、ランサムウェア攻撃は、ランサムウェア オペレーターがネットワークに侵入することから始まり、時間の経過とともに毎日実行されます。

この違反は、公開されたリモート デスクトップ サービス、VPN ソフトウェアの脆弱性、または TrickBot、Dridex、QakBot などのマルウェアによるリモート アクセスが原因です。

アクセスできるようになると、Mimikatz、PowerShell Empire、PSExec などのツールを使用して接続情報を収集し、ネットワーク全体に広げます。

ネットワーク上のコンピューターにアクセスするとき、この資格情報を使用して、ランサムウェア攻撃が発生する前に、バックアップ デバイスやサーバーから暗号化されていないファイルを盗みます。

攻撃が行われた後、被害者は BleepingComputer に、ランサムウェアのオペレーターが見えないことを報告しましたが、それでも彼らのネットワークは危険にさらされています.
Maze ランサムウェア オペレーターによる最近の攻撃で証明されているように、この信念は真実とはかけ離れています。

読んだ -研究者は、Siri、Alexa、および Google Home にレーザーを照射してハッキングしました

Maze はランサムウェア攻撃の後もファイルを盗み続けました

Maze Ransomware のオペレーターは最近、データ漏洩サイトで、VT San Antonio Aerospace (VT SAA) と呼ばれる ST Engineering の子会社のネットワークにハッキングしたことを発表しました。このリークで恐ろしいのは、Maze がランサムウェア攻撃に関する被害者の IT 部門のレポートを含む文書を公開したことです。

盗まれた文書は、Maze がまだ彼のネットワーク上にあり、攻撃の調査が続けられている間、会社の盗まれたファイルをスパイし続けていたことを示しています。この種の攻撃では、この連続アクセスは珍しくありません。マカフィー チーフ エンジニア兼サイバー調査マネージャー ジョン フォッカー

は BleepingComputer に対し、ランサムウェアの交渉が進行している間に一部の攻撃者が被害者の電子メールを読んでいると語っています。
「私たちは、ランサムウェア プレイヤーがランサムウェアを展開した後も被害者のネットワークにとどまった事例を認識しています。これらのケースでは、攻撃者は最初の攻撃の後、または取り残された交渉中に被害者のバックアップを暗号化しました。もちろん、攻撃者は引き続きアクセスして、被害者の電子メールを読むことができます。

読んだ -ハッカーはコロナウイルスへの恐怖を悪用して、ユーザーをだまして悪意のあるメールをクリックさせています

専門家の助言

ランサムウェア攻撃が検出された後、企業はまずネットワークとそのネットワーク上で実行されているコンピューターをシャットダウンする必要があります。これらのアクションは、継続的なデータ暗号化を防ぎ、攻撃者によるシステムへのアクセスを拒否します。
これが完了したら、会社はサイバーセキュリティプロバイダーに電話して、すべての内部および公共のデバイスの攻撃とスキャンの徹底的な調査を行う必要があります.

このスキャンには、企業のデバイスをスキャンして、持続的な感染、脆弱性、脆弱なパスワード、およびランサムウェア オペレーターが残した悪意のあるツールを特定することが含まれます。

被害者のサイバー保険は、多くの場合、ほとんどの修理と調査をカバーしています。

Advanced Intel の会長である Fokker と Vitali Kremez も、攻撃を修正するための追加のヒントと戦略を提供しました。

「最も重大な企業ランサムウェア攻撃には、ほとんどの場合、バックアップ サーバーからドメイン コントローラーまで、被害者のネットワークの完全な侵害が含まれます。システムを完全に制御できるため、攻撃者は簡単に防御を無効にしてランサムウェアを実装できます。

「このような深刻な干渉を受けるインシデント対応 (IR) チームは、有罪が証明されるまで、攻撃者がまだネットワーク上にいると想定する必要があります。これは主に、進行中の IR の取り組みについて話し合うために別の通信チャネル (攻撃者には見えない) を選択することを意味します。 」

「攻撃者はすでに被害者の Active Directory をスキャンして、残っているバックドア アカウントを削除していることに注意することが重要です。彼らは完全な AD スキャンを行う必要があります」と Fokker 氏は BleepingComputer に語っています。

Kremez はまた、独立した安全な通信チャネルと、調査に関連するデータを保存できる閉じたストレージ チャネルを提案しました。

攻撃者がまだネットワーク上にいる可能性があると仮定して、ランサムウェア攻撃をデータ侵害として扱います。そのため、被害者はボトムアップで作業し、仮説を確認または無効にする法医学的証拠を取得しようとします。多くの場合、特権アカウントに焦点を当てた、ネットワーク インフラストラクチャの完全なフォレンジック分析が含まれます。フォレンジック評価の間、別個の安全なストレージと通信チャネル (異なるインフラストラクチャ) を持つビジネス継続計画があることを確認してください」と Kremez 氏は述べています。

ボトムアップで、仮説を確認または無効にする法医学的証拠を取得してみてください。多くの場合、特権アカウントに焦点を当てた、ネットワーク インフラストラクチャの完全なフォレンジック分析が含まれます。フォレンジック評価中は、安全なストレージと通信チャネル (異なるインフラストラクチャ) を分離するための事業継続計画があることを確認してください」と Kremez 氏は述べています。

Kremez は、脆弱なネットワーク上のデバイスを再考することが推奨されることを発見しました。それでも、攻撃者は別の攻撃に使用できるネットワーク資格情報に完全にアクセスできる可能性が高いため、十分ではない可能性があります。
「被害者はマシンやサーバーを再インストールする可能性があります。ただし、犯罪者がすでに資格情報を盗んでいる可能性があることに注意してください。単純な再インストールでは不十分な場合があります。 「クレメスは続けた。

最終的に、攻撃者は攻撃後も被害者の動きを監視し続ける可能性が高いと想定することが不可欠です。

この盗聴は、被害を受けたネットワークのクリーンアップを妨げるだけでなく、攻撃者が被害者の電子メールを読んで先を行く場合、交渉戦術にも影響を与える可能性があります.