勒索软件组织继续以医疗行业和关键服务为目标，攻击持续上升

COVID-19环球大风行,让长途事变变得越来越广泛,环球的贸易首脑被迫对他们的基本办法举办彻夜变动,IT主管和安详运营团队面对庞大的压力。然而,打单软件组织并没有遏制,进攻一连增添。

  在此文章中,我们将对最近的打单软件活举措深入说明。下面,我们将先容:

  易受进攻且不受监控的联网体系很是轻易被入侵

  各类百般的打单软件进攻伎俩说明

  针对主动进攻的即时相应法子

  成立安详防护系统,以防止收集免受人工投毒进攻

  Bitdefender GravityZone:针对伟大且范畴普及的人工打单软件的协同防止

  易受进攻且不受监控的联网体系轻易被入侵

  黑客入侵后,可在情形中保持相对休眠状态,直到他们确定了陈设打单软件的适其机缘。

  具有以下瑕玷的体系易受进攻:

  无多身分身份验证(MFA)的长途桌面协议(RDP)或假造桌面端点

  行使弱暗码的旧体系,譬喻Windows Server 2003和Windows Server 2008

  设置错误的体系,Web处事器,包罗IIS,电子康健记录(EHR)软件

  未修补的体系,你必要出格存眷:CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600, CVE-2019-0604, CVE- 2020-0688, CVE-2020-10189

  进攻者常常行使器材(譬喻Mimikatz和Cobalt Strike)窃取凭据,横向移动,收集侦察和泄漏数据。在这些勾当中,黑客可以会见特权较高的打点员根据,并筹备在受到滋扰时采纳也许更具粉碎性的法子。

  在进攻者陈设了打单软件的收集上,他们存心在某些端点上维护其存在,目标是在付出赎金或重建体系后从头启动恶意勾当。我们调查到险些全部的黑客组织在进攻进程中都在查察和窃取数据,随后他们可以在暗网中将公司的收集会见根据出售,再次赢利。

  以是,你必要主动修补/监控联网的体系,并采纳缓解法子,以低落进攻风险。

  各类百般的打单软件进攻伎俩说明

  尽量个体勾当和打单软件系列具有以下各节所述的奇异属性,但这些打单软件勾当每每团结了人工投毒进攻,它们凡是回收了相同的进攻战术,至于执行的Payload,完全取决于其小我私人气魄威风凛凛。

  RobbinHood打单软件

  RobbinHood打单软件会操作易受进攻的驱动措施来封锁安详软件,它们凡是对袒露资产举办长途桌面爆破。他们最终得到特权凭据,首要是具有共享或通用暗码的当地打点员帐户,以及具有域打点员特权的处事帐户。像Ryuk和其他广为宣传的打单软件组一样,RobbinHood运营商会留下新的当地和Active Directory用户帐户,以便在删除恶意软件和器材后从头得到会见权限。

  Vatet loader打单软件

  进攻者凡是会转移基本布局,技能和器材,以避开法律部分或安详研究职员的观测。Vatet是Cobalt Strike框架的自界说加载措施,早在2018年11月就已在打单软件勾当中呈现,它是最近勾当中浮出水面的器材之一。

  该器材背后的小组好像出格针对医院,救济组织,生物制药,医疗装备制造商和其他要害行业。他们是这段时刻里最多产的打单软件运营商之一,已经造成了数十起案件。为了会见方针收集,他们操作CVE-2019-19781,RDP爆破并发送包括启动恶意PowerShell呼吁的.lnk文件的电子邮件。一旦进入收集,他们就会窃取根据(包罗存储在根据打点器库中的根据),并横向移动直到得到域打点员权限。

  NetWalker打单软件

  NetWalker运营商发送大量的COVID-19信息的垂纶邮件,来锁定医院和医疗保健商。这些电子邮件包括了恶意.vbs附件。除此之外,他们还行使错误设置的基于IIS的应用措施来启动Mimikatz并窃取根据,从而粉碎了收集,他们随后又行使这些根据来启动PsExec,并最终陈设了NetWalker打单软件。

  PonyFinal打单软件

  这种基于Java的打单软件被以为是新奇的,可是勾当并不有数。其策划者入侵了面向互联网的Web体系,并得到了特权凭据。为了成立耐久性,他们行使PowerShell呼吁启动体系器材mshta.exe,并基于常见的PowerShell进攻框架配置反向shell。他们还行使正当的器材来维护长途桌面毗连。

  Maze 打单软件

  Maze是首批出售被盗数据的打单软件,Maze继承以技能提供商和民众处事为方针。Maze有进攻托管处事提供商(MSP)来会见MSP客户数据和收集的记录。

  Maze通过电子邮件发送,其运营商在行使通用前言(譬喻RDP爆破)得到会见权限后,将Maze陈设到了收集。一旦进入收集,他们就会窃取凭据,横向移动以会见资源并窃取数据,然后陈设打单软件。

  窃取凭据得到对域打点员帐户的节制权之后,打单软件运营商行使Cobalt Strike,PsExec和大量其他器材来陈设各类payload并会见数据。他们行使打算使命和处事成立了无文件耐久化,这些使命和处事启动了基于PowerShell的长途Shell。他们还行使被盗的域打点员权限打开Windows长途打点以举办耐久节制。为了减弱安详节制以筹备打单软件陈设,他们通过组计策哄骗了各类配置。

  REvil/Sodinokibi打单打单软件

  REvil(也称为Sodinokibi)也许是第一个操作Pulse VPN中的收集装备裂痕窃取根据以会见收集的打单软件,Sodinokibi会见MSP以及会见客户的收集后,偷盗并出售客户的文档和会见权,臭名远扬。在COVID-19危急时代,他们继承开展这项勾当,以MSP和其他组织(譬喻处所当局)为方针。REvil在裂痕操作方面与其余组织有所差异,但进攻伎俩与很多其他组织相同,它们曾经依靠于像Mimikatz这样的根据偷盗器材和PsExec等器材举办横向移动和侦察。

  其他打单软件系列

  在此时代,其他人工投毒的打单软件系列包罗:

  Paradise,曾经直接通过电子邮件分发,但此刻用人工投毒打单软件进攻(Bitdefender已推出免费的解密器材)

  RagnarLocker,大量行使被盗的根据,RDP爆破和Cobalt Strike进攻

  MedusaLocker,也许通过现有的Trickbot传染举办陈设

  LockBit,行使果真的渗出测试器材CrackMapExec举办横向移动

  针对主动进攻的即时相应法子

  我们凶猛提议组织当即搜查是否有与这些打单软件进攻有关的警报,并优先举办观测和调停。防止者应留意的与这些进攻有关的恶意举动包罗:

  恶意PowerShell,Cobalt Strike和其他渗出测试器材

  偷盗根据勾当,譬喻可疑会见lsass.exe体系处事

  任何改动安详变乱日记,取证工件,譬喻USNJournal或安详署理的举动

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!