Πολλές εταιρείες/θύματα επιθέσεων ransomware πιστεύουν ότι οι εισβολείς αναπτύσσουν γρήγορα το ransomware και φεύγουν από τα δίκτυα τους, ώστε να μην τους εντοπίσουν. Δυστυχώς, η πραγματικότητα είναι πολύ διαφορετική καθώς οι απειλητικοί παράγοντες δεν είναι τόσο γρήγοροι.
Στην πραγματικότητα, οι επιθέσεις ransomware πραγματοποιούνται με την πάροδο του χρόνου, που κυμαίνεται από μια μέρα έως και ένα μήνα, ξεκινώντας με έναν χειριστή ransomware να παραβιάζει ένα δίκτυο.
Αυτή η παραβίαση οφείλεται σε εκτεθειμένες υπηρεσίες remote desktop, ευπάθειες σε λογισμικό VPN ή μέσω απομακρυσμένης πρόσβασης που παρέχεται από malware όπως τα TrickBot, Dridex και QakBot.
Μόλις αποκτήσουν πρόσβαση, χρησιμοποιούν εργαλεία όπως το Mimikatz, το PowerShell Empire, το PSExec και άλλα για να συλλέξουν login credentials και να εξαπλωθούν σε όλο το δίκτυο.
Καθώς αποκτούν πρόσβαση σε υπολογιστές στο δίκτυο, χρησιμοποιούν αυτά τα credentials για να κλέψουν μη κρυπτογραφημένα αρχεία από εφεδρικές συσκευές και servers πριν αναπτύξουν την ransomware επίθεση.
Μόλις αναπτυχθεί το ransοmware, πολλά θύματα πιστεύουν ότι οι χειριστές του ransomware φεύγουν από το δίκτυο τους, ενώ στην πραγματικότητα παραμένουν σε κίνδυνο.
Αυτή η πεποίθηση απέχει πολύ από την αλήθεια, όπως φαίνεται από μια πρόσφατη επίθεση από τους χειριστές του Maze Ransomware.
Το Maze συνέχισε να κλέβει αρχεία μετά την επίθεση ransomware
Πρόσφατα, οι χειριστές του Maze Ransοmware αποκάλυψαν στο website τους ότι είχαν εισβάλει στο δίκτυο μιας θυγατρικής της ST Engineering με την ονομασία VT San Antonio Aerospace (VT SAA).
Αυτό που είναι τρομακτικό για αυτή τη διαρροή είναι ότι το Maze διέρρευσε ένα έγγραφο που περιέχει την αναφορά του τμήματος IT της εταιρείας σχετικά με την επίθεση ransomware.
Αυτό το κλεμμένο έγγραφο δείχνει ότι το Maze εξακολουθούσε να κρύβεται στο δίκτυό τους και συνέχισε να κατασκοπεύει την κλοπή αρχείων από την εταιρεία καθώς συνεχιζόταν η έρευνα για την επίθεση.
Αυτή η συνεχής πρόσβαση δεν είναι ασυνήθιστη όταν πρόκειται για αυτούς τους τύπους επιθέσεων.
Ο John Fokker, επικεφαλής των ερευνών στον κυβερνοχώρο για την McAfee, δήλωσε στο BleepingComputer ότι σε ορισμένες επιθέσεις, οι απειλητικοί παράγοντες διαβάζουν τα email των θυμάτων, ακόμη και όταν γίνονται οι διαπραγματεύσεις.
“Γνωρίζουμε αρκετές περιπτώσεις όπου οι χειριστές των ransomware παρέμειναν στο δίκτυο ενός θύματος μετά την ανάπτυξη του ransοmware τους. Σε αυτές τις περιπτώσεις, οι επιτιθέμενοι κρυπτογράφησαν τα αντίγραφα ασφαλείας του θύματος μετά την αρχική επίθεση ή κατά τη διάρκεια των διαπραγματεύσεων, κάτι που κατέστησε σαφές ότι ο εισβολέας είχε ακόμη πρόσβαση και “διάβαζε” τα email του θύματος. “
