轉自HELPNETSECURITY,作者馬克·洛曼,藍色摩卡譯,侵轉刪
根據最新的Sophos報告,勒索軟件試圖通過濫用受信任的合法程序來疏忽過去的安全控制措施,然后利用內部系統加密最大數量的文件,并在IT安全團隊趕上之前禁用備份和恢復程序。
勒索軟件的主要模式
勒索軟件通常以以下三種方式之一進行傳播:
作為一種加密蠕蟲,它可以將自身快速復制到其他計算機上以產生最大的影響(例如WannaCry);
作為勒索軟件即服務(RaaS),在暗網上以分發工具包的形式出售(例如Sodinokibi);
或通過自動主動攻擊者的攻擊方式,即攻擊者在對網絡進行自動掃描后,會手動部署勒索軟件,以尋找保護力較弱的系統。
加密代碼簽名勒索軟件
帶有購買或被盜的合法數字證書的加密代碼簽名勒索軟件,試圖說服某些安全軟件該代碼是可信賴的,不需要分析。
特權提升
使用隨時可用的漏洞(例如EternalBlue)提升權限,以提升訪問權限。這使攻擊者可以安裝程序(例如遠程訪問工具RAT),以及查看,更改或刪除數據,創建具有完全用戶權限的新帳戶以及禁用安全軟件。
跨網絡橫向移動和狩獵
攻擊者可以在一個小時內創建一個腳本,以在網絡端點和服務器上復制并執行勒索軟件。
為了加快攻擊速度,勒索軟件可能會優先處理遠程/共享驅動器上的數據,首先針對較小的文檔大小,然后同時運行多個加密過程。
遠程攻擊的威脅
文件服務器本身通常沒有感染勒索軟件。相反,威脅通常在一個或多個受感染的端點上運行,濫用特權用戶帳戶,有時通過遠程桌面協議(RDP)或針對托管服務提供商(MSP)
通常使用的遠程監視和管理(RMM)解決方案來遠程攻擊文檔。以管理客戶的IT基礎架構和/或最終用戶系統。
文件加密和重命名
有多種不同的文件加密方法,包括簡單地覆蓋文檔,但是大多數方法都伴隨著備份或原始副本的刪除,從而阻礙了恢復過程。
勒索軟件攻擊的發展
“勒索軟件的創建者非常了解安全軟件的工作原理,并相應地調整了攻擊方式。一切都旨在避免檢測,同時惡意軟件會盡快加密盡可能多的文檔,并且即使不是不可能,也很難恢復數據。
“在某些情況下,攻擊的主體發生在晚上,即IT團隊在家里睡著了。當受害者發現發生了什么事時,為時已晚。
“至關重要的是要具有強大的安全控制,監管到位和響應覆蓋所有端點,網絡和系統,并且及時安裝軟件更新最新版本。
聲明:我們尊重原創者版權,除確實無法確認作者外,均會注明作者和來源。轉載文章僅供個人學習研究,同時向原創作者表示感謝,若涉及版權問題,請及時聯系小編刪除!
