HTCinside
Wanneer een bedrijf eenransomware aanval, velen geloven dat aanvallers de ransomware snel inzetten en verlaten, zodat ze niet gepakt worden. Helaas is de realiteit heel anders omdat de actoren in de dreiging een hulpbron niet zo snel opgeven dat ze zo hard hebben gewerkt om het onder controle te krijgen.
In plaats daarvan worden ransomware-aanvallen van dag tot maand uitgevoerd, te beginnen met de intrede van een ransomware-operator op een netwerk.
Deze overtreding is te wijten aan blootgestelde externe desktopservices, kwetsbaarheden in de VPN-software of externe toegang door malware zoals TrickBot, Dridex en QakBot.
Zodra ze toegang hebben, gebruiken ze tools zoals Mimikatz, PowerShell Empire, PSExec en anderen om verbindingsinformatie te verzamelen en lateraal over het netwerk te verspreiden.
Wanneer ze toegang krijgen tot computers op het netwerk, gebruiken ze deze referentie om niet-versleutelde bestanden van back-upapparaten en servers te stelen voordat de ransomware-aanval plaatsvindt.
Nadat de aanval had plaatsgevonden, meldden slachtoffers BleepingComputer dat ransomware-operators niet zichtbaar zijn, maar dat hun netwerk toch gevaar loopt.
Het geloof is verre van waar, zoals blijkt uit een recente aanval door Maze Ransomware-operators.
Lezen -Onderzoekers hebben Siri, Alexa en Google Home gehackt door met lasers naar hen te schijnen
Maze Ransomware-operators hebben onlangs op hun dataleksite aangekondigd dat ze het netwerk van een ST Engineering-dochteronderneming genaamd VT San Antonio Aerospace (VT SAA) hebben gehackt. Het enge aan dit lek is dat Maze een document heeft vrijgegeven met daarin het rapport van de IT-afdeling van het slachtoffer over zijn ransomware-aanval.
Het gestolen document laat zien dat Maze nog steeds op zijn netwerk was en de gestolen bestanden van het bedrijf bleef bespioneren terwijl het onderzoek naar de aanval doorging. Deze continue toegang is niet ongebruikelijk voor dit type aanval. McAfee chief engineer en cyberonderzoeksmanager John Fokker
vertelde BleepingComputer dat sommige aanvallers de e-mails van slachtoffers lazen terwijl de ransomware-onderhandelingen gaande waren.
“We zijn op de hoogte van gevallen waarin ransomwarespelers op het netwerk van een slachtoffer bleven nadat ze hun ransomware hadden ingezet. In deze gevallen versleutelden aanvallers de back-ups van het slachtoffer na de eerste aanval of tijdens achtergebleven onderhandelingen. Natuurlijk kon de aanvaller nog steeds toegang krijgen tot de e-mail van het slachtoffer en deze lezen.
Lezen -Hackers maken misbruik van de angst voor het Coronavirus om gebruikers te misleiden om op kwaadaardige e-mails te klikken
Nadat een ransomware-aanval is gedetecteerd, moet een bedrijf eerst zijn netwerk en de daarop draaiende computers afsluiten. Deze acties voorkomen continue gegevensversleuteling en ontzeggen aanvallers toegang tot het systeem.
Zodra dit is voltooid, moet het bedrijf een cyberbeveiligingsprovider bellen om een grondig onderzoek te doen naar de aanval en het scannen van alle interne en openbare apparaten.
Deze scan omvat het scannen van de apparaten van het bedrijf om hardnekkige infecties, kwetsbaarheden, zwakke wachtwoorden en kwaadaardige tools te identificeren die zijn achtergelaten door ransomware-operators.
De cyberverzekering van het slachtoffer dekt in veel gevallen de meeste reparaties en onderzoeken.
Fokker en Vitali Kremez, voorzitter van Advanced Intel, gaven ook enkele aanvullende tips en strategieën om een aanval te corrigeren.
“Bij de belangrijkste ransomware-aanvallen op bedrijven gaat het bijna altijd om een complete aantasting van het netwerk van een slachtoffer, van back-upservers tot domeincontrollers. Met volledige controle over een systeem kunnen bedreigingsactoren eenvoudig de verdediging uitschakelen en hun ransomware implementeren.
“Incident Response (IR)-teams die onderhevig zijn aan dergelijke diepgaande interferentie, moeten ervan uitgaan dat de aanvaller zich nog steeds op het netwerk bevindt totdat zijn schuld is bewezen. Dit betekent voornamelijk het kiezen van een ander communicatiekanaal (niet zichtbaar voor de dreigingsactor) om de lopende IR-inspanningen te bespreken. ”
“Het is belangrijk op te merken dat aanvallers de Active Directory van een slachtoffer al hebben gescand om resterende achterdeuraccounts te verwijderen. Ze moeten een volledige AD-scan doen”, zegt Fokker tegen BleepingComputer.
Kremez stelde ook een apart beveiligd communicatiekanaal voor en een gesloten opslagkanaal waar gegevens met betrekking tot het onderzoek kunnen worden opgeslagen.
Behandel ransomware-aanvallen als datalekken, ervan uitgaande dat aanvallers zich nog steeds op het netwerk bevinden, dus slachtoffers moeten van onderaf werken en forensisch bewijs proberen te verkrijgen dat de hypothese bevestigt of ontkracht. Het omvat vaak een volledige forensische analyse van de netwerkinfrastructuur, met een focus op geprivilegieerde accounts. Zorg ervoor dat je een bedrijfscontinuïteitsplan hebt om tijdens de forensische evaluatie een apart beveiligd opslag- en communicatiekanaal (andere infrastructuur) te hebben”, aldus Kremez.
Probeer van onderaf forensisch bewijs te verkrijgen dat de hypothese bevestigt of ontkracht. Het omvat vaak een volledige forensische analyse van de netwerkinfrastructuur, met een focus op geprivilegieerde accounts. Zorg ervoor dat je een bedrijfscontinuïteitsplan hebt om tijdens de forensische evaluatie een apart beveiligd opslag- en communicatiekanaal (andere infrastructuur) te hebben”, aldus Kremez.
Kremez ontdekte dat het aanbevolen wordt om apparaten op een kwetsbaar netwerk opnieuw te bedenken. Toch is het misschien niet genoeg omdat aanvallers waarschijnlijk volledige toegang hebben tot netwerkreferenties die kunnen worden gebruikt voor een andere aanval.
“Slachtoffers hebben het potentieel om machines en servers opnieuw te installeren. Houd er echter rekening mee dat de crimineel de inloggegevens mogelijk al heeft gestolen. Een eenvoudige herinstallatie is misschien niet voldoende. “Kremez ging door.
Uiteindelijk is het essentieel om aan te nemen dat aanvallers waarschijnlijk de bewegingen van een slachtoffer zullen blijven volgen, zelfs na een aanval.
Dit afluisteren kan niet alleen het opruimen van een beschadigd netwerk belemmeren, maar kan ook van invloed zijn op onderhandelingstactieken als aanvallers de e-mail van een slachtoffer lezen en voorop blijven lopen.