勒索软件组织继续以医疗行业和关键服务为目标

更新时间:2020-06-07 08:15  
 

  黑客入侵后,可在情况中连结相对休眠形态,直到他们确定了摆设打单软件的恰当机会。

  打单软件经营商仍在不竭发掘新的攻击方针,防御者应利用所有可用东西自动评估危害。您该当继续施行颠末验证的防止性处理方案- 设置庞大的暗码,并按期更改,最小特权,连结操作体系和使用法式最新,装置超一流的反病毒软件,连结更新,体系遵照Windows平安基线设置,设置装备安排防火墙,施行备份- 来阻遏这些攻击,操纵监督东西不竭改善平安。

  若是您的收集遭到影响,请当即施行以下范畴和查询造访勾当,以领会此平安事务的影响。仅仅利用风险目标,payload,可疑文件来确定这些要挟的影响并不是一个长期的处理方案,由于大大都打单软件勾当都为勾当利用“一次性”套件,一旦确定了平安软件拥有检测威力,便经常更改其东西和体系。

  设置危害扫描打算,自动评估端点的攻击面,比方:Windows平安基线扫描,设置装备安排错误,法式缝隙等

  在攻击者摆设了打单软件的收集上,他们居心在某些端点上维护其具有,目标是在领取赎金或重建体系后从头启动恶意勾当。咱们察看到险些所有的黑客组织在攻击历程中都在查看和盗取数据,随后他们能够在暗网中将公司的收集拜候根据出售,再次获利。

  通过内置的智能,主动化和SIEM集成,Bitdefender GravityZone能够阻遏攻击,消弭其长期性并主动修复受影响的资产,自动评估资产的攻击面,帮助您主动修复。它能够联系关系传感器并归并警报,以协助防御者确定事务的优先级以进行查询造访和相应。Bitdefender GravityZone还供给了奇特的事务搜索功效,能够进一步协助防御者识别攻击延伸并得到组织特定的看法以增强防御。

  从办理节制台中当即断绝可疑的或已成为横向挪动方针的端点,或利用高级搜索语法查询搜刮有关IOC的方式找到这些端点,从已知的受影响的端点寻找横向活动。

  该东西背后的小组彷佛出格针对病院,支援组织,生物制药,医疗设施制作商和其他环节行业。他们是这段时间里最多产的打单软件经营商之一,曾经形成了数十起案件。为了拜候方针收集,他们操纵CVE-2019-19781,RDP爆破并发送蕴含启动恶意PowerShell号令的.lnk文件的电子邮件。一旦进入收集,他们就会盗取根据(包罗存储在根据办理器库中的根据),并横向挪动直到得到域办理员权限。

  Bitdefender GravityZone供给了和谐的防御,Bitdefender拥有世界顶级的防止手艺,能够发觉完备的攻击链并主动阻遏庞大的攻击,比方人工投毒的打单软件。

  NetWalker经营商发送大量的COVID-19消息的垂钓邮件,来锁定病院和医疗保健商。这些电子邮件蕴含了恶意.vbs附件。除此之外,他们还利用错误设置装备安排的基于IIS的使用法式来启动Mimikatz并盗取根据,从而粉碎了收集,他们随后又利用这些根据来启动PsExec,并最终摆设了NetWalker打单软件。

  任何窜改平安事务日记,取证工件,比方USNJournal或平安代办署理的举动

  REvil(也称为Sodinokibi)可能是第一个操纵Pulse VPN中的收集设施缝隙盗取根据以拜候收集的打单软件,Sodinokibi拜候MSP以及拜候客户的收集后,偷窃并出售客户的文档和拜候权,臭名远扬。在COVID-19危机时期,他们继续开展这项勾当,以MSP和其他组织(比方处所当局)为方针。REvil在缝隙操纵方面与其它组织有所分歧,但攻击伎俩与很多其他组织雷同,它们已经依赖于像Mimikatz如许的根据偷窃东西和PsExec等东西进行横向挪动和侦查。

  您能够利用Bitdefender缝隙扫描与补丁办理,危害办理来修复端点的缝隙,设置装备安排错误:

  咱们强烈提议组织当即查抄能否有与这些打单软件攻击相关的警报,并优先辈行查询造访息争救。防御者应留意的与这些攻击相关的恶意举动包罗:

  查抄Windows事务日记中能否具有泄露后登录,查看审核失败露务,查看事务ID为4624,登录类型为2或10的事务。对付其他任何时间范畴,请查抄登录类型4或5。

  Paradise,已经间接通过电子邮件散发,但此刻用人工投毒打单软件攻击(Bitdefender已推出免费的解密东西)

  很多打单软件经营商通过Emotet和Trickbot等恶意软件传染,然落伍入方针收集。这些恶意软件家族凡是被以为是银行木马,已被用来供给各类payload,包罗长期化工件。钻研息争救任何已知的传染,并以为它们可能是庞大的人类敌手的病媒。在重建受影响的端点或重置暗码之前,请确保查抄表露的根据,其他payload和横向挪动。

  盗取凭证得到对域办理员帐户的节制权之后,打单软件经营商利用Cobalt Strike,PsExec和大量其他东西来摆设各类payload并拜候数据。他们利用打算使命和办事成立了无文件长期化,这些使命和办事启动了基于PowerShell的近程Shell。他们还利用被盗的域办理员权限翻开Windows近程办理以进行长期节制。为了减弱平安节制以预备打单软件摆设,他们通过组计谋把持了各类设置。

  查询造访受这些攻击影响的端点,并标识这些端点上具有的所有根据。假定攻击者能够利用这些根据,而且所相联系关系帐户都遭到了要挟。请留意,攻击者不只能够转储已登录交互式或RDP会话的帐户的根据,还能够转贮存储在注册表的LSA Secrets部门中的办事帐户和打算使命的缓存的根据和暗码。

  RobbinHood打单软件会操纵易受攻击的驱动法式来封闭平安软件,它们凡是对表露资产进行近程桌面爆破。他们最终得到特权凭证,次如果拥有共享或通用暗码确当地办理员帐户,以及拥有域办理员特权的办事帐户。像Ryuk和其他广为宣传的打单软件组一样,RobbinHood经营商会留下新确当地和Active Directory用户帐户,以便在删除恶意软件和东西后从头得到拜候权限。

  Maze是首批出售被盗数据的打单软件,Maze继续以手艺供给商和大众办事为方针。Maze有攻击托管办事供给商(MSP)来拜候MSP客户数据和收集的记实。

  Bitdefender GravityZone从端点、收集、云等等多个维度,全方位洞察整个根本架构中的所有收集攻击和可疑勾当,及时阻遏恶意要挟和流量。

  人工投毒打单软件攻击代表了分歧级此外要挟,由于攻击者擅善于体系办理和发觉平安置置装备安排错误,因而能够以最巷子径倏地入侵。若是碰鼻,他们能够熟练地测验测验其它方式冲破。总而言之,人工投毒打单软件攻击长短常庞大的,没有两次攻击是彻底不异的。

  虽然个体勾当和打单软件系列拥有以下各节所述的奇特属性,但这些打单软件勾当往往连系了人工投毒攻击,它们凡是采用了雷同的攻击战术,至于施行的Payload,彻底取决于其小我气概。

  设置装备安排内网的计较机通过Bitdefender中继转发云平安查询,以获取最新的要挟谍报,涵盖倏地成长的攻击东西和手艺。基于云的机械进修庇护可阻遏绝大大都新的和未知的变种。

  攻击者经常利用东西(比方Mimikatz和Cobalt Strike)盗取凭证,横向挪动,收集侦查和泄漏数据。在这些勾傍边,黑客能够拜候特权较高的办理员根据,并预备在遭到滋扰时采纳可能更具粉碎性的办法。

  开启Bitdefender的高级要挟防护,收集攻击防护,无文件攻击防护,HyperDetect可调理机械进修,云沙盒,高级反缝隙操纵模块,从各个维度屏障黑客的勾当

  攻击者凡是会转移根本布局,手艺和东西,以避开法律部分或平安钻研职员的查询造访。Vatet是Cobalt Strike框架的自界说加载法式,早在2018年11月就已在打单软件勾傍边呈现,它是比来勾傍边浮出水面的东西之一。

  Maze通过电子邮件发送,其经营商在利用通用前言(比方RDP爆破)得到拜候权限后,将Maze摆设到了收集。一旦进入收集,他们就会盗取凭证,横向挪动以拜候资本并盗取数据,然后摆设打单软件。

  这种基于Java的打单软件被以为是新鲜的,可是勾当并不稀有。其运营者入侵了面向互联网的Web体系,并得到了特权凭证。为了成立长期性,他们利用PowerShell号令启动体系东西mshta.exe,并基于常见的PowerShell攻击框架设置反向shell。他们还利用合法的东西来维护近程桌面毗连。

  COVID-19环球大风行,让近程事情变得越来越遍及,环球的贸易魁首被迫对他们的根本设备进行彻夜更改,IT主管战争安经营团队面对庞大的压力。然而,打单软件组织并没有遏制,攻击连续增加。

  打算缝隙扫描和装置补丁,自动发觉资产的缝隙清单,确定优先级,主动修复操作体系和第三要领式缝隙,Bitdefender答应平安办理员和IT办理员无缝协作以处理问题。

亚米游戏|首页官网
联系人:穆经理
联系电话:13805434973
地址:山东省滨州市滨城区黄河6路华天商城

网站地图

亚米游戏 亚米游戏 亚米游戏