Παρασκευή, 15 Ιανουαρίου, 20:27
Αρχική security Τα ransomware εξακολουθούν να κυριαρχούν: Εμφάνιση νέας τακτικής

Τα ransomware εξακολουθούν να κυριαρχούν: Εμφάνιση νέας τακτικής

ransomware

Οι ransomware επιθέσεις συχνά βασίζονται σε trojan για να μολύνουν υπολογιστές και να κλέψουν δεδομένα. Τέτοια trojans είναι τα Emotet και Trickbot, καθώς βοηθούν τους εγκληματίες να να διεισδύσουν σε ευαίσθητα δεδομένα, τα οποία κρατούν “όμηρο” για να ζητήσουν λύτρα. Αλλά καθώς τα ransomware κυριαρχούν στο πεδίο απειλών στον κυβερνοχώρο, οι εγκληματίες εκτελούν όλο και περισσότερες επιθέσεις χρησιμοποιώντας το Cobalt Strike, ένα κατά τα άλλα “ethical testing framework“. Μια νέα έκθεση της Cisco Talos Incident Response (CTIR) περιγράφει αυτήν τη νέα τάση.

Σύμφωνα με τη CTIR, τα ransomware εξακολουθούν να έχουν κυρίαρχη θέση στο πεδίο απειλών κατά το τελευταίο τρίμηνο. Αυτό σημαίνει ότι για πέντε συνεχόμενα τρίμηνα, κατέχουν αυτή τη θέση. Κάποια από τα πιο γνωστά ransomware είναι τα Ryuk, Maze, LockBit και Netwalker.

Μια από τις τακτικές που χρησιμοποιείται όλο και περισσότερο, τον τελευταίο καιρό, είναι η αξιοποίηση νόμιμων-ηθικών εργαλείων, όπως το Cobalt Strike, ένα ισχυρό toolkit που έχει σχεδιαστεί για δοκιμές προσομοίωσης και penetration testing.

Ωστόσο, αντί να χρησιμοποιούν το εργαλείο για ηθικούς σκοπούς (για τους οποίους και δημιουργήθηκε), οι ransomware συμμορίες το χρησιμοποιούν για να μολύνουν και να θέσουν σε κίνδυνο συστήματα από τα οποία μπορούν στη συνέχεια να κλέψουν και να ελέγξουν δεδομένα. Το περασμένο τρίμηνο, το 66% όλων των ransomware επιθέσεων περιελάμβαναν το Cobalt Strike, ανέφερε η έκθεση.

Σε ένα παράδειγμα που ανέφερε η CTIR, μια εταιρεία μολύνθηκε από το LockBit ransomware. Οι επιτιθέμενοι χρησιμοποίησαν το Cobalt Strike. Έπειτα, χρησιμοποιώντας ένα εργαλείο ανοιχτού κώδικα που ονομάζεται “CrackMapExecWin“, μπόρεσαν να εξερευνήσουν μεγάλα Active Directory networks και ανάγκασαν όλα τα συστήματα στο δίκτυο να πραγματοποιήσουν μια ενημέρωση.

Στη συνέχεια, η ενημέρωση δημιούργησε μια υπηρεσία για την εκτέλεση του ransomware από έναν παραβιασμένο διακομιστή. Οι λογαριασμοί χρηστών δημιουργήθηκαν στους υπολογιστές που είχαν παραβιαστεί, τους οποίους χρησιμοποίησαν οι εισβολείς για να ξεκινήσουν απομακρυσμένες συνδέσεις. Η ransomware συμμορία χρησιμοποίησε, επίσης, το TeamViewer για να κλέψει πληροφορίες και για να διαγράψει τα ίχνη της παραβίασης.

Τα δεδομένα που εξήχθησαν από αυτήν την επίθεση δημοσιεύτηκαν στο site διαρροής του Maze ransomware.

Ένας λόγος για τον οποίο βλέπουμε τόσο μεγάλη δραστηριότητα του Cobalt Strike αυτήν τη στιγμή είναι γιατί βοηθά στα malware“, δήλωσε η Amy Henderson, μέλος της CTIR. “Οι επιτιθέμενοι το χρησιμοποιούν για να συμπληρώσουν τυχόν κενά που έχουν ή για γρήγορη και αποτελεσματική κατασκευή, ώστε να μπορούν να επικεντρωθούν στα πιο κερδοφόρα και περίπλοκα μέρη της επίθεσής τους“.

Η χρήση του Cobalt Strike εμφανίζεται όχι μόνο σε ransomware αλλά και σε άλλους τύπους διαδικτυακών επιθέσεων. Επίσης, η χρήση του Cobalt Strike beacons, που μπορεί να μιμηθεί το νόμιμο traffic, μπορεί να είναι ένας λόγος για τον οποίο το toolkit είναι ελκυστικό στους εγκληματίες.

Στις περισσότερες περιπτώσεις, οι επιτιθέμενοι έχουν ήδη παραβιάσει το σύστημα ενός θύματος και χρησιμοποιούν μετά το εργαλείο.

Το Cobalt Strike έχει επίσης μια σειρά από χαρακτηριστικά και δυνατότητες που μπορούν να εκμεταλλευτούν οι ransomware συμμορίες και άλλοι επιτιθέμενοι.

Σύμφωνα με την CTIR, ένα άλλο ethical toolkit που χρησιμοποιείται επίσης για κακούς σκοπούς είναι το Telerik UI framework. Συνήθως, χρησιμοποιείται για την ανάπτυξη λογισμικού, αλλά πρόσφατα ανακαλύφθηκε ότι έχει μια ευπάθεια (CVE-2019-18935) που θα μπορούσε να επιτρέψει την εκτέλεση κώδικα απομακρυσμένα. Μια τέτοια ευπάθεια μπορεί να είναι ιδιαίτερα επικίνδυνη, καθώς πολλές εφαρμογές ASP.NET ενδέχεται να εκτελούν παλαιότερες εκδόσεις του Telerik UI που είναι ευάλωτες στην ευπάθεια και άρα θέτουν τους χρήστες σε κίνδυνο.

Σε ένα παράδειγμα, ένας επιτιθέμενος χτύπησε τον διακομιστή μιας τεχνολογικής εταιρείας και κατάφερε μέσω του toolkit να εκτελέσει κακόβουλες εντολές, που οδήγησαν σε επίθεση ransomware.

Πώς να προστατεύσετε τον οργανισμό σας από ransomware επιθέσεις;

Χρησιμοποιήστε μια ισχυρή λύση προστασίας email: Το email εξακολουθεί να είναι το πρώτο στάδιο επίθεσης (στις περισσότερες περιπτώσεις), επομένως οι οργανισμοί πρέπει να έχουν ισχυρά προγράμματα προστασίας email. Αυτό περιλαμβάνει και την εκπαίδευση των υπαλλήλων για τον εντοπισμό και την αναφορά προηγμένων phishing επιθέσεων.

Εφαρμόστε σωστές πολιτικές: Εφαρμόστε πολιτικές που περιορίζουν την πρόσβαση ορισμένων χρηστών σε εφαρμογές PowerShell ή CMD και άλλες σημαντικές εφαρμογές. Τέτοιες πολιτικές θα πρέπει να εμποδίζουν τους επιτιθέμενους να αποκτήσουν περαιτέρω προνόμια, ώστε να μην μπορούν να εξαπλωθούν στα δίκτυα.

Εφαρμόστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων: Χρησιμοποιείστε μεθόδους ελέγχου ταυτότητας, για να βάλετε περισσότερα εμπόδια στους hackers.

Δημιουργήστε αντίγραφα ασφαλείας για τα κρίσιμα δεδομένα: Βεβαιωθείτε ότι έχετε αντίγραφα ασφαλείας των σημαντικών δεδομένων σας, που δεν μπορούν να τροποποιηθούν με τη χρήση domain credentials. Αυτό σημαίνει ότι πρέπει να δημιουργήσετε αντίγραφα ασφαλείας offline ή να χρησιμοποιήσετε άλλες μεθόδους για την προστασία των αντιγράφων. Τα online αντίγραφα ασφαλείας αποτελούν στόχο των hackers πριν την πραγματοποίηση της ransomware επίθεσης, ώστε το θύμα να μην μπορεί να αποκαταστήσει τη ζημιά μόνο του. Η κατοχή ασφαλών αντιγράφων ασφαλείας είναι απαραίτητη ώστε τα θύματα να μπορούν να ανακτήσουν τα δεδομένα τους, χωρίς να πληρώσουν τα λύτρα.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...