轉自HELPNETSECURITY,作者馬克·洛曼,藍色摩卡譯,侵轉刪
根據最新的Sophos報告,勒索軟件試圖通過濫用受信任的合法程序來疏忽過去的安全控制措施,然後
利用內部系統加密最大數量的文件,並在IT安全團隊趕上之前禁用備份和恢復程序。
勒索軟件的主要模式
勒索軟件通常以以下三種方式之一進行傳播:
作為一種加密蠕蟲,它可以將自身快速複製到其他計算機上以產生最大的影響(例如WannaCry);
作為勒索軟件即服務(RaaS),在暗網上以分發工具包的形式出售(例如Sodinokibi);
或通過自動主動攻擊者的攻擊方式,即攻擊者在對網絡進行自動掃描後,會手動部署勒索軟件,以尋找保護力較弱的系統。
加密代碼簽名勒索軟件
帶有購買或被盜的合法數字證書的加密代碼簽名勒索軟件,試圖說服某些安全軟件該代碼是可信賴的,不需要分析。
特權提升
使用隨時可用的漏洞(例如EternalBlue)提升權限,以提升訪問權限。這使攻擊者可以安裝程序(例如遠程訪問工具RAT),以及查看,更改或刪除數據,創建具有完全用戶權限的新帳戶以及禁用安全軟件。
跨網絡橫向移動和狩獵
攻擊者可以在一個小時內創建一個腳本,以在網絡端點和服務器上覆制並執行勒索軟件。
為了加快攻擊速度,勒索軟件可能會優先處理遠程/共享驅動器上的數據,首先針對較小的文檔大小,然後同時運行多個加密過程。
遠程攻擊的威脅
文件服務器本身通常沒有感染勒索軟件。相反,威脅通常在一個或多個受感染的端點上運行,
濫用特權用戶帳戶,有時通過遠程桌面協議(RDP)或針對託管服務提供商(MSP)通常使用的遠程監視和管理(RMM)解決方案來遠程攻擊文檔。以管理客戶的IT基礎架構和/或最終用戶系統。
文件加密和重命名
有多種不同的文件加密方法,包括簡單地覆蓋文檔,但是大多數方法都伴隨著備份或原始副本的刪除,從而阻礙了恢復過程。
勒索軟件攻擊的發展
“勒索軟件的創建者非常瞭解安全軟件的工作原理,並相應地調整了攻擊方式。一切都旨在避免檢測,同時惡意軟件會盡快加密儘可能多的文檔,並且即使不是不可能,也很難恢復數據。
“在某些情況下,攻擊的主體發生在晚上,即IT團隊在家裡睡著了。當受害者發現發生了什麼事時,為時已晚。
“至關重要的是要具有強大的安全控制,監管到位和響應覆蓋所有端點,網絡和系統,並且及時安裝軟件更新最新版本。
精彩在後面
Hi,我是超級盾
更多幹貨,可移步到,微信公眾號:超級盾訂閱號!精彩與您不見不散!
超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!
截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢
閱讀更多 超級盾 的文章
