勒索软件提供完美的封面

看看Cisos最关心的任何安全挑战列表,您将一直找到 勒索制造器 在他们。毫无疑问:由于停机时间,恢复,监管处罚和收入损失的成本,勒索软件攻击跛子组织。不幸的是,网络犯罪分子已经增加了额外的刺痛:他们正在使用勒索制品作为烟幕,以将安全团队从场景背后的其他秘密活动转移。

勒索软件覆盖

攻击者正在利用赎金软件的噪音,因为它提供了完美的封面来分散注意力,因此他们可以瞄准他们的真实目标:exfiltrated ip,研究和来自公司网络的其他有价值的数据。

樱桃的两点

虽然涉及百万美元赎金的攻击要求吸引头条新闻,但支付不再是攻击者的唯一财务激励。关键数据的exfiltration是一个关键动机,可用于将受害者敲入较大的费用以恢复资产。

包括研究和专利等知识产权(包括知识产权)的数据通常由有组织的群体或作为企业间谍活动的一部分。窃取此信息,然后将业务强制才能获得访问网络,为攻击者提供进一步的奖励,以便规划和执行高级目标攻击。

Ransomware是针对目标数据exfiltration攻击的完美封面。 安全团队 很清楚毁灭性,没有选中的赎金软件爆发可能导致。他们自然会集中在遏制和修复上的所有努力,以尽量减少干扰并获得业务和运行。

然而,一旦感染了,进行了并进行了取证来调查攻击如何开始,可以存在缺陷者一段时间的迹象。在释放赎金软件本身之前的几周内,最严重的损坏很可能。

例如,对于一个组织进行了一个赎金软件攻击,您调查了攻击如何启动以及威胁演员可能已经在网络上执行的其他操作。您已发现源自服务帐户的可疑活动。

攻击者使用该帐户访问并将大量数据移动到临时目录中进行exfiltration。通过对来源的调查,很明显这不仅仅是一个典型的 赎金软件攻击。这种方法快速成为规范而不是例外。

建立杠杆持久性

通过花时间真正研究他们的目标,发现防御的弱点,并进行高度有针对性的运动,威胁演员可能对受害者造成更大的伤害。在一个让人想起大型软件公司的商业模式中,威胁演员可以通过购买模块化附加组件来购买他们需要和定制这些目标的确切工具。

一旦建立了立足点,威胁演员的实际价值就在于建立和维护网络上的持久性。它们能够留在系统中的时间越长,升级权限和收集高价值数据或IP的可能性越大。反过来,这使得从任何赎金的转换率都需要更高。

他们的杠杆率变得越大,他们可以拖动网络的网络速度越长,组织更有可能在威胁到这一需求的情况下,如果他们将公开高度敏感的企业数据的Troves即将公开。

虽然利用继续繁殖,但最危险的仍然是情绪,它充当恶意软件装载机或滴管。被这一点所尊重 Cisa. 作为“最普遍的持续威胁之一,其妥协指标经常发生变化,传统安全解决方案是非常困难的。传播它的MALSPAM运动通常利用称为“线索”的技术,其中威胁演员可以通过受感染的主机拦截电子邮件链,并将有效载荷提供给信任的受害者。

一旦系统被感染,ModeTet就会使威胁参与者能够升级特权,横向移动,建立持久性和exfiltrate数据,并上传其他恶意程序,如涓饰。一旦他们捕获和加密文件,网络犯罪分子就可以要求赎金。

防止赎金软件欺骗

攻击者不断创建逃避基于签名的方法的新变种。为了抵消这些攻击,公司需要深入防守。这从防止威胁演员通过防止策略捍卫网络,例如通过员工培训,使用强密码,使用强密码 2FA和补丁管理。

如果威胁演员使其进入系统,则当组织部署最小特权方法时,它们对横向移动的潜力有限,其中基于作业角色或资历对文件和文件夹的访问。

行为异常是威胁演员可以在网络上的主要指标。这包括加密或下载尝试访问受限制数据的大量数据或用户帐户。成功发现此类行为需要将数据与许多来源相关联,包括端点和网络检测和响应解决方案。

最后,为了确保在赎金软件攻击的情况下可以快速恢复,组织也必须具有强大的备份,即他们可以依赖他们的网络是否下降。对于目标赎金软件攻击,显示明年没有放缓的迹象,企业需要一个连接的检测能力系统,以确定赎金软件爆发可能只是试图分散和禁用公司,而攻击者逃脱最有价值的数据资产。

分享这个