五个迹象即将被赎金软件击中
赎金软件攻击可能往往似乎来自任何地方,但有一系列警告标志和指标,即网络罪犯在您的组织网络中,并计划推出赎金软件攻击。通过一点练习,据Sophos的研究人员称,他们可以及时发现,今天,他今天发布了关于赎金书厂的一系列主要报告。
Sophos托管威胁响应(MTR)单元广泛使用赎金软件受害者,作为其工作的一部分,它检查了过去的两周检测,寻找入侵迹象。它现在编译了五个指针列表,其中可能指示攻击网络内部的攻击者,建立土地的谎言,以及如何掌握他们需要启动赎金软件攻击的帐户访问权限。
SchoS的主要研究科学家Chester Wisniewski每周告诉计算机,即在分析规模的赎金软件攻击方面,该公司的MTR团队在普通组织中具有明显的可见性优势。
“例如,”他说,“在观察到他们在客户分析的第三个废物锁攻击之后,他们看到犯罪分子在开始赎回数据之前,他们看到了在某个秩序中使用的工具模式。
“然后他们能够在所有的客户中出去使用我们的EDR [端点检测和响应]产品,并查看他们的机器并说'这里有更多的人现在是网络罪犯,但他们没有触发了“瑞典软件”。
“我们发现了他们的模式,并在我们的整个客户群中寻找它,并发现他们在能够造成损坏之前明显地具有初始立足点的人员持久的帆船瓶演员。
wisniewski补充说:“这对企业来说真的很难做到,因为他们只有自己看,除非他们以前被击中,否则他们并不真正知道他们在寻找什么。我们的团队每天都坐在那里看着数千名客户,我们可以说我们以前见过这个,我们知道这是什么,让我们现在关闭。“
读取即将赎金仓库事件的迹象的关键是理解,网络犯罪分子经常使用合法的行政工具来为他们的攻击制定阶段,说道。这使得它们非常困难,并且意味着他们的活动很容易被忽视,但如果您提醒您的工具将如何用于对抗您,他们会提起红旗。
“最着名的是,微软工具受到这些家伙的严重虐待,因为没有人在寻找以恶意方式使用的好事,如果你愿意,”Wisniewski说。“你采取一个完全好的工具,这意味着帮助您部署软件并使用同一工具部署赎金软件,并且似乎是许多组织的盲点,当然是对我来说最大的一个突出的组织。 “
Sophos的五个必不可少的提示,可能暗示勒索软件演员的系统已经在系统内:
首先,留意网络扫描仪,尤其是在服务器上。网络犯罪分子通常首先可以访问一台计算机以搜索信息,例如域名,公司名称,机器已启用的管理员权限等。然后,他们将尝试了解网络上的其他内容以及他们可以获得的内容以及最简单的方法是使用网络扫描工具,例如Annicalip或Advanced Port Scanner。如果发现了一个,安全领导应查阅IT管理人员,以了解是否合法使用,如果没有,则保证调查。如果攻击者已获得管理员权限,则可能会尝试使用旨在帮助删除软件的合法商业应用程序禁用您的防病毒保护。这些可能包括过程黑客,Iobit安装程序,GMER或PC Hunter。安全团队应该警惕他们在网络上的外观。应该立即检查网络上任何位置的开源Mimikatz凭据收集程序的任何检测。同样,Mimikatz确实拥有专业渗透测试仪的合法用途,但也很受到网络犯罪分子用于凭证盗窃的欢迎。任何检测到每天发生同时发生的任何行为,或者在其他一些重复模式中都可以是一个迹象表明,即使您最近发现并从网络中删除了恶意文件,也可能存在不提供的东西。这可能意味着你还没有看到的其他事情。警惕几个计算机上的小规模测试攻击的可能性,这是运行的,以查看部署方法和ransomware是否执行或停止。如果您的系统确实停止了看似无关紧要的攻击,网络罪犯会知道他们已经表现出了他们的手,并且必须改变战术再试一次,让您的安全团队难点停止更糟糕的事情。Sophos的广泛报告系列也展望了更加避免形式的赎金软件的发展,出现了侵入后或双重敲诈攻击,并为浪费锁主提供了新的研究,以为近期Garmin系统落后于此其他。