2023-12-29 分類: 網(wǎng)站建設(shè)
去年,檢測到雙重勒索勒索軟件威脅激增,最近一次是在加拿大的一家能源公司。黑客顯然已經(jīng)完成了他們的功課,針對(duì)公司量身定制了攻擊方式,并在進(jìn)入公司后迅速而隱秘地行動(dòng)。下面是這個(gè)現(xiàn)實(shí)世界事件的時(shí)間線,它主要是在 24 小時(shí)內(nèi)進(jìn)行的。
檢測到入侵的每個(gè)階段,并通過高優(yōu)先級(jí)警報(bào)通知安全團(tuán)隊(duì)。如果Antigena在環(huán)境中處于活動(dòng)狀態(tài),則受感染的服務(wù)器一旦開始出現(xiàn)異常行為就會(huì)被隔離,從而防止感染傳播。
加密和滲透
最初的感染媒介尚不清楚,但管理員帳戶很可能受到網(wǎng)絡(luò)釣魚鏈接或漏洞利用的影響。這表明了從過去十年廣泛的“噴灑和祈禱”勒索軟件活動(dòng)轉(zhuǎn)向更有針對(duì)性的方法的趨勢(shì)。
Cyber?? AI 識(shí)別出一臺(tái)內(nèi)部服務(wù)器正在使用遠(yuǎn)程桌面協(xié)議(RDP) 進(jìn)行異常網(wǎng)絡(luò)掃描并嘗試橫向移動(dòng)。泄露的管理員憑據(jù)被用于從服務(wù)器快速傳播到另一個(gè)內(nèi)部設(shè)備“serverps”。
設(shè)備“serverps”啟動(dòng)了與 TeamViewer 的出站連接,這是一種合法的文件存儲(chǔ)服務(wù),已激活了近 21 小時(shí)。此連接用于遠(yuǎn)程控制設(shè)備并促進(jìn)進(jìn)一步的攻擊階段。盡管 TeamViewer 并未在公司的數(shù)字環(huán)境中廣泛使用,但它并沒有被任何傳統(tǒng)防御措施所阻擋。
該設(shè)備隨后連接到內(nèi)部文件服務(wù)器并下載了 1.95 TB 的數(shù)據(jù),并將相同數(shù)量的數(shù)據(jù)上傳到 pcloud[.]com。這種滲漏發(fā)生在工作時(shí)間,以融入常規(guī)的管理活動(dòng)。
還看到該設(shè)備下載了 Rclone 軟件——一種開源工具,它很可能被用于將數(shù)據(jù)自動(dòng)同步到合法的文件存儲(chǔ)服務(wù) pCloud。
受損的管理員憑證允許攻擊者在此期間橫向移動(dòng)。數(shù)據(jù)泄露完成后,“serverps”設(shè)備終于開始加密 12 臺(tái)設(shè)備上的文件,擴(kuò)展名為 *.06d79000。與大多數(shù)勒索軟件事件一樣,加密發(fā)生在辦公時(shí)間之外- 當(dāng)?shù)貢r(shí)間過夜 - 以大限度地減少安全團(tuán)隊(duì)快速響應(yīng)的機(jī)會(huì)。
人工智能驅(qū)動(dòng)的調(diào)查
Cyber?? AI Analyst 報(bào)告了與攻擊相關(guān)的四起事件,向安全團(tuán)隊(duì)強(qiáng)調(diào)了可疑行為,并提供了有關(guān)受影響設(shè)備的報(bào)告,以便立即進(jìn)行補(bǔ)救。這種簡潔的報(bào)告使安全團(tuán)隊(duì)能夠快速確定感染的范圍并做出相應(yīng)的反應(yīng)。
雙重麻煩
使用合法工具和“遠(yuǎn)離土地”技術(shù)(使用 RDP 和受損的管理員憑據(jù))允許威脅參與者在不到 24 小時(shí)內(nèi)執(zhí)行大部分攻擊。通過利用 TeamViewer 作為數(shù)據(jù)泄露的合法文件存儲(chǔ)解決方案,而不是依賴已知的“壞”或最近注冊(cè)的域,黑客可以輕松繞過所有現(xiàn)有的基于簽名的防御。
如果沒有檢測到這種入侵并立即向安全團(tuán)隊(duì)發(fā)出警報(bào),那么這次攻擊可能不僅會(huì)導(dǎo)致員工被鎖定在文件之外的“業(yè)務(wù)拒絕”,而且還會(huì)導(dǎo)致敏感數(shù)據(jù)丟失。AI 通過自動(dòng)調(diào)查和按需報(bào)告進(jìn)一步節(jié)省了團(tuán)隊(duì)的重要時(shí)間。
雙重勒索勒索軟件會(huì)造成更多損失。泄露提供了另一層風(fēng)險(xiǎn),導(dǎo)致知識(shí)產(chǎn)權(quán)受損、聲譽(yù)受損和合規(guī)罰款。一旦威脅組織獲得了您的數(shù)據(jù),他們可能會(huì)很容易地要求更多付款。因此,重要的是在這些攻擊發(fā)生之前對(duì)其進(jìn)行防御,主動(dòng)實(shí)施能夠在威脅出現(xiàn)時(shí)立即檢測并自主響應(yīng)的網(wǎng)絡(luò)安全措施。
網(wǎng)站名稱:了解雙重勒索軟件攻擊
本文鏈接:http://redsoil1982.com.cn/news14/310914.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站排名、網(wǎng)站設(shè)計(jì)公司、網(wǎng)站收錄、軟件開發(fā)、網(wǎng)站維護(hù)、服務(wù)器托管
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容