Το Computer Emergency Response Center (JPCERT/CC) της Ιαπωνίας μοιράστηκε συμβουλές για τον εντοπισμό επιθέσεων διαφόρων συμμοριών ransomware με βάση τις καταχωρίσεις στα αρχεία καταγραφής συμβάντων των Windows, παρέχοντας έγκαιρη ανίχνευση συνεχιζόμενων επιθέσεων προτού εξαπλωθούν υπερβολικά σε ένα δίκτυο.
Δείτε επίσης: Οι hackers Storm-0501 στοχεύουν hybrid cloud περιβάλλοντα με ransomware
Το JPCERT/CC λέει ότι η τεχνική μπορεί να είναι πολύτιμη όταν ανταποκρίνεται σε επιθέσεις ransomware και ο εντοπισμός του φορέα επίθεσης μεταξύ των διαφόρων πιθανοτήτων είναι ζωτικής σημασίας για τον έγκαιρο μετριασμό.
Η στρατηγική έρευνας που προτείνεται από το JPCERT/CC καλύπτει τέσσερις τύπους αρχείων καταγραφής συμβάντων των Windows: αρχεία καταγραφής εφαρμογών, ασφάλειας, συστήματος και εγκατάστασης. Αυτά τα αρχεία καταγραφής συχνά περιέχουν ίχνη που αφήνονται πίσω από επιθέσεις ransomware που θα μπορούσαν να αποκαλύψουν τα σημεία εισόδου που χρησιμοποιούν οι εισβολείς και την «ψηφιακή τους ταυτότητα».
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
Ακολουθούν ορισμένα παραδείγματα ιχνών ransomware που επισημαίνονται στην αναφορά του οργανισμού:
Conti: Αναγνωρίζεται από πολλά αρχεία καταγραφής που σχετίζονται με το Windows Restart Manager (αναγνωριστικά συμβάντων: 10000, 10001). Παρόμοια συμβάντα δημιουργούνται από τα Akira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon, Bablock και άλλα κακόβουλα προγράμματα που έχουν δημιουργηθεί από τον κρυπτογραφητή Lockbit και Conti που διέρρευσαν.
Phobos: Αφήνει ίχνη κατά τη διαγραφή αντιγράφων ασφαλείας συστήματος (αναγνωριστικά συμβάντων: 612, 524, 753). Παρόμοια αρχεία καταγραφής δημιουργούνται από το 8base και το Elbie.
Midas: Αλλάζει τις ρυθμίσεις δικτύου για εξάπλωση μόλυνσης, αφήνοντας το αναγνωριστικό συμβάντος 7040 στα αρχεία καταγραφής.
BadRabbit: Καταγράφει το αναγνωριστικό συμβάντος 7045 κατά την εγκατάσταση ενός στοιχείου κρυπτογράφησης.
Bisamware: Καταγράφει την έναρξη (1040) και το τέλος (1042) μιας συναλλαγής του Windows Installer.
Δείτε ακόμα: Νέα παραλλαγή Linux του Mallox ransomware βασίζεται σε κώδικα Kryptina
Το JPCERT/CC σημειώνει επίσης ότι οι φαινομενικά άσχετες παραλλαγές ransomware όπως Shade, GandCrab, AKO, AvosLocker, BLACKBASTA και Vice Society, αφήνουν πίσω τους πολύ παρόμοια ίχνη (αναγνωριστικά συμβάντων: 13, 10016).
Και τα δύο σφάλματα προκαλούνται από έλλειψη αδειών κατά την πρόσβαση σε εφαρμογές COM για τη διαγραφή Volume Shadow Copies, τα οποία το ransomware συνήθως διαγράφει για να αποτρέψει την εύκολη επαναφορά κρυπτογραφημένων αρχείων.
Είναι σημαντικό να σημειωθεί ότι καμία μέθοδος ανίχνευσης δεν θα πρέπει να λαμβάνεται ως εγγύηση για επαρκή προστασία από ransomware, αλλά η παρακολούθηση για συγκεκριμένα αρχεία καταγραφής μπορεί να αλλάξει το παιχνίδι όταν συνδυαστεί με άλλα μέτρα για τον εντοπισμό επιθέσεων πριν εξαπλωθούν πολύ μακριά σε ένα δίκτυο.
Το JPCERT/CC σημειώνει ότι παλαιότερα στελέχη ransomware όπως το WannaCry και το Petya δεν άφησαν ίχνη στα αρχεία καταγραφής των Windows, αλλά η κατάσταση έχει αλλάξει στο σύγχρονο κακόβουλο λογισμικό, επομένως η τεχνική θεωρείται πλέον αποτελεσματική.
Δείτε επίσης: Ransomware συμμορίες καταχρώνται το Azure Storage Explorer
Οι επιθέσεις ransomware αποτελούν μια αυξανόμενη απειλή στον κυβερνοχώρο, στοχεύοντας ιδιώτες και οργανισμούς σε όλο τον κόσμο. Σε μια τυπική επίθεση ransomware, οι επιτιθέμενοι διεισδύουν σε ένα δίκτυο, εγκαθιστούν κακόβουλο λογισμικό και κρυπτογραφούν κρίσιμα δεδομένα, απαιτώντας λύτρα για την αποκατάσταση της πρόσβασης. Οι επιθέσεις αυτές ενδέχεται να προκαλέσουν σημαντικές οικονομικές απώλειες και να διαταράξουν ζωτικής σημασίας λειτουργίες. Η προστασία από ransomware περιλαμβάνει την ενημέρωση λογισμικού, την εκπαίδευση των χρηστών για την αναγνώριση ύποπτων emails και την τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων, μειώνοντας τον κίνδυνο σοβαρών επιπτώσεων.
Πηγή: bleepingcomputer