通过主动威胁狩猎卷曲RAAS攻击

在这个帮助净安全播客,乔恩迪马吉奥,首席安全战略家 分析师1,讨论赎金软件 - 服务(RAAS)帮派和组织如何阻止它们成功的攻击的特征。

raas攻击

让事情变得有趣,乔恩’S九岁的儿子正在举办面试。以下是您方便的成绩单。

Damien: Hi, I’M Damien Dimaggio,今天我正在采访分析师的首席安全战略家Jon Dimaggio。

乔恩: 嗨Damien。谢谢今天与我交谈。

今天,我们正在与Jon关于赎金软件的服务和一些糟糕的家伙说话。乔恩,你能告诉我们什么是勒索沃特的服务是什么?

乔恩: Sure, Damien, that’一个伟大的问题。因此,今天最大的问题之一是赎金软件攻击。传统上,企业赎金软件攻击者将找到最初违反环境的方法。他们’在几天到几周内的那种环境中,将“Live”LL“Live”。我们’等于短短三天,只要两个星期,攻击者将使用已经存在的合法工具在环境中花时间(“离开土地”),使用双重使用工具和枚举和获得特权时间。

然后,他们使用这些权限来关闭和禁用安全服务。这允许对手逐步阶段环境,以便他们确实执行赎金有效载荷时,它’LL最成功加密和删除对客户数据的访问。 Ransomware As-A-Service更进一步。

基本上,他们所做的是他们销售对他们的攻击。所以他们在黑暗的净论坛和市场上做广告。他们所做的就是,您可以购买服务,您可以在帮助暴露受害者时参加利润分享’环境,他们实际上付钱了。

因此,这里最大的差异化因素是您有更高的攻击量,您有更多的人参与,您有更大的攻击卷和更短的时间帧,因此您带来了更大的利润,并通过分享了这一利润’对网络罪犯非常有吸引力和有利可图。

有趣的。这些群体如何与传统的赎金软件糟糕的家伙不同?

乔恩: Well, you know, it’在他们使用的策略中,达米恩。一个真正突出的策略之一,他们’唯一的攻击者是这样做的,但他们是第一个做到这一点之一,实际上是制作副本和偷取受害者’在勒索仓库有效载荷执行之前的数据。

攻击者从此获得的好处是他们现在可以利用这一点以获得额外收入。他们所做的是公开威胁到敏感信息或客户数据的受害者。这只是一种进一步勒索受害者的方法的另一个元素,并增加他们可以要求的金额。现在,您有这些受害者必须担心不仅拥有他们所有的数据,而且必须担心他们的所有数据,而是实际的公众曝光。

It’s成为一个非常大的问题,但这些策略–除了使用社交媒体嘲讽的受害者并托管自己的基础设施来存储和发布数据 - 所有这些东西都是在看到它与勒索沃特服务一起使用之前的元素,在传统的企业赎金软件攻击中没有被广泛看出。

一旦他们拥有它,他们会用数据做些什么?

乔恩: 他们做的第一件事是他们经历,他们找到了一些细节’敏感。现在这可能是敏感的电子邮件通信,或者可能是受害者组织提供或确实的某种秘密“酱汁”,或者它可能是您难以敏感的客户信息’想要暴露。和他们’LL将一小块戴在受害者面前的悬挂,让他们知道他们’重新认真,他们将公开发布。

他们’ll使用Twitter“社交”,他们拥有这些数据,它们’ll post to text托管网站,例如pastebin,或者他们’LL拍摄电子邮件或文档的屏幕截图,并邮寄到托管网站,如4chan。它’几乎就像一个宣传驱动的运动’我真的试着拨出消息并传播他们可以访问这个组织的单词’根据客户的关键信息和客户数据,以吸引受害者支付。他们想确保客户了解,他们专门将向这些组织的一些客户联系,以增加压力并有受害者支付。

那么,一切’关于赢得金钱和利润与赎金瓶的群体,他们’刚刚发现不同的方法来实施和利用外面的受害者以及超越传统的赎金软件加密技术。

受害者是否应该支付赎金?如果他们这样做,坏人会抵押他们的交易结束吗?

乔恩: That’也是一个很好的问题。它’真的很难......你可以’无论他们是否支付,都要判断受害者。我们总是告诉别人你应该’T支付赎金。如果没有人支付赎金,那么你就不会’保持攻击者继续这些类型的攻击。正如我提到的那样,它需要时间,天到几周,他们必须花费这项工作以便获得支付。所以,如果他们花了那么多,没有人支付这些家伙赚取额外的钱,所以......

你可以’T信任支付他们将保持保护。当这种情况发生时,组织在一个糟糕的地方,而且他们’LL必须制定任何关于它的决定’值得付钱。但传统上,它’总是最好不要在第一个地方受到损害,这显然没有’曾经帮助组织一次’已经发生了。但只是理解,只是因为你支付赎金’t mean that you’重新让您的数据回来或它’没有将在路上公开发布。

公司可以做些什么来保护自己免受这些类型的攻击?

乔恩: 停止攻击的最佳时间是在执行赎金软件有效载荷之前。因此,在那些时间段,那些日子到对手暂存环境的时间,提供了一种检测它们的机会。因此,当对手使用合法的行政工具时,为了进一步获得立足点,这’捍卫者识别它的时候。

所以,看着行政工具使用,看着谁’使用它,看着他们的时间’使用它,看着他们’与它一起做,所有这些都是那里的东西’有机会阻止发生这种情况。我们看到了实际做得很好的捍卫者,他们确实确定发生攻击,他们已经成功停止了这些赎金软件攻击者。

但它’既是关于拥有非常主动威胁狩猎的心态的全部,也没有依赖于工具和应用来闪现红色并告诉您邪恶的东西在您的组织中正在进行中。它’是一个非常积极主动的方法,它’不只是看着坏东西,还要看着组织需要做的好东西,合法的工具使用。

Damien: Thanks, Jon, it’S一直非常丰富,伟大的工作。

乔恩: Thank you, Damien.

分享这个