Bezpieczeństwo

Operatorzy oprogramowania Ransomware czają się w Twojej sieci także po ataku

3 min czytania

Gdy firma pada atakiem ransomware, wiele ofiar uważa, że atakujący szybko wdrażają szkodliwe oprogramowanie i znikają, aby nie dać się złapać. Niestety rzeczywistość jest zupełnie inna, ponieważ hakerzy dokonujący ataków wcale nie kwapią się, aby zrezygnować łupu (jakim są zasoby informatyczne), nad którym tak ciężko pracowali. Tymczasem, ataki ransomware są przeprowadzane w dłuższym okresie czasu,

Maze kontynuował kradzież plików po ataku ransomware

Operatorzy Maze Ransomware ujawnili na swojej stronie wycieku danych, że włamali się do sieci spółki zależnej ST Engineering o nazwie VT San Antonio Aerospace (VT SAA). Przerażające w tym wycieku jest to, że Maze ujawnił dokument zawierający raport działu IT ofiary na temat ataku ransomware.

Fakt ten pokazał dobitnie, że Maze wciąż czaił się w ich sieci i kontynuował śledzenie i kradzież plików z firmy, w czasie, gdy trwało dochodzenie w sprawie ataku.

Ta kontynuacja dostępu nie jest rzadkością w przypadku tego typu ataków. John Fokker, główny inżynier i szef Cyber Investigations w firmie McAfee, stwierdził, że w przypadku niektórych ataków hakerzy czytali e-maile firmy, która padła ofiarą ich działań, nawet gdy trwały negocjacje dotyczące okupu.

Znamy przypadki, w których cyberprzestępcy pozostawali w sieci ofiary po tym, jak wdrożyli swoje oprogramowanie ransomware. W takich przypadkach napastnicy zaszyfrowali kopie zapasowe ofiary po pierwszym ataku lub podczas negocjacji, co jasno wskazywało, że atakujący nadal miał dostęp i czytał e-mail ofiary.

Co radzą eksperci?

Po wykryciu ataku ransomware pierwszym krokiem, jaki powinna zrobić firma, jest zamknięcie sieci i działających w niej komputerów. Działania te uniemożliwiają dalsze szyfrowanie danych i uniemożliwiają atakującym dostęp do systemu.

Po wykonaniu tej czynności należy wezwać firmę zewnętrzną zajmującą się bezpieczeństwem cybernetycznym w celu przeprowadzenia pełnego dochodzenia w sprawie ataku i audytu wszystkich urządzeń wewnętrznych i publicznych.

Audyt obejmuje analizę urządzeń firmowych pod kątem trwałych infekcji, luk w zabezpieczeniach, słabych haseł i złośliwych narzędzi pozostawionych przez operatorów ransomware.

Fokker i Vitali Kremez, prezes Advanced Intel, przedstawili dodatkowe porady i strategie:

Poważniejsze korporacyjne ataki ransomware prawie zawsze wiążą się z całkowitym przejęciem sieci ofiary, od serwerów zapasowych po kontrolery domeny. Mając pełną kontrolę nad siecią, podmioty ransomware mogą łatwo wyłączyć zabezpieczenia i wdrożyć oprogramowanie ransomware.

W obliczu tak daleko posuniętego naruszenia integralności i bezpieczeństwa danych, zespoły reagowania na tego typu incydenty, muszą założyć, że osoba atakująca nadal pozostaje w sieci, dopóki nie uzyskają niezbitej pewności, że jest inaczej. Oznacza to przede wszystkim wybranie innego kanału komunikacji (niewidocznego dla cyberprzestępcy), który posłuży do omawiania bieżących wysiłków mających zażegnać kryzys.

Istotne będzie zwrócenie uwagi, czy hakerzy już przeszukiwali Active Directory ofiary, zatem w celu usunięcia wszelkich pozostałych kont backdoorów należy przeprowadzić pełny przegląd AD.

Kremez zasugerował również oddzielny bezpieczny kanał komunikacyjny, a także wydzielony kanał przechowywania, który można wykorzystać do przechowywania danych związanych z dochodzeniem.

Należy traktować ataki ransomware jako incydenty z naruszeniem danych z mocną hipotezą, że osoby atakujące mogą nadal znajdować się w sieci. Dlatego ofiary powinny pracować oddolnie, próbując uzyskać dowody, które potwierdzają lub unieważniają hipotezę. Często obejmuje to pełną analizę infrastruktury sieciowej ze szczególnym uwzględnieniem kont uprzywilejowanych. Upewnij się, że masz plan ciągłości działania, pozwalający na oddzielny bezpieczny kanał komunikacji i przechowywania (oddzielna infrastruktura) podczas przeprowadzania oceny śledczej.

Kremez zauważył, że sugerowane jest ponowne odtworzenie obrazu urządzeń w zaatakowanej sieci, ale może nie wystarczyć, ponieważ osoby atakujące prawdopodobnie mają pełny dostęp do poświadczeń sieciowych, które można wykorzystać do kolejnego ataku.

Ofiary powinny potencjalnie przeinstalować komputery i serwery. Należy jednak pamiętać, że przestępca mógł już ukraść dane uwierzytelniające. Zwykła ponowna instalacja może nie wystarczyć. Musieliby również zmienić hasła domeny, ponieważ przestępcy mogliby wrócić wykorzystując takie poświadczenia.

Ostatecznie, ważne jest, aby działać przy założeniu, że nawet po ataku napastnicy prawdopodobnie nadal będą obserwować ruchy ofiary. Takie szpiegostwo może nie tylko utrudniać czyszczenie sieci, w której doszło do naruszenia, ale może również wpływać na taktykę negocjacyjną, ponieważ napastnicy czytają wiadomość e-mail ofiary i w ten sposób są zawsze o krok do przodu.

Tagi

ransomware cyberbezpieczeństwo ataki hakerskie ochrona danych bezpieczeństwo sieci maze ransomware incident response

Powiązane artykuły

Czytaj dalej w temacie, który Cię interesuje.

Bezpieczeństwo

Rodzina produktów TSplus – Twój sprzymierzeniec wobec zagrożeń bezpieczeństwa sieci

Praca z domu zapewnia firmom i pracownikom wiele korzyści, ale zarazem otwiera drzwi na poważne zagrożenia dla bezpieczeństwa sieci. W jaki sposób organizacje mogą zminimalizować ryzyko cyberataków? TSplus Remote Access oferuje skalowalny i niezawodny zdalny pulpit i możliwość udostępniania aplikacji. TSplus Remote Work zapewnia pracownikom bezpośredni dostęp do ich biurowego komputera. TSplus Advanced Security natomiast

Czytaj
Bezpieczeństwo

Nowe zagrożenia cybernetyczne wymagają kompleksowego rozwiązania w zakresie bezpieczeństwa

Hakerzy znajdują wciąż nowe sposoby na obejście obrony przed wykradaniem haseł (phishing). Positive Technologies, wiodący globalny dostawca rozwiązań bezpieczeństwa dla przedsiębiorstw w zakresie zarządzania ryzykiem, informuje, że „cyberprzestępcy stopniowo przechodzą na wykorzystanie wielofunkcyjnych złośliwych oprogramowań”. MegaCortex jest jednym z ostatnich przykładów takiego wielozadaniowego oprogramowania Ransomware, które odpowiada za wydobywanie kryptowaluty, kradzież haseł, manipulowanie adresami portfeli

Czytaj
Bezpieczeństwo

RDS-Knight innowacją w strefie cyberbezpieczeństwa

Według raportów Beazley, grupy globalnych profesjonalistów ubezpieczeniowych - spośród wszystkich małych i średnich firm korzystających z oprogramowania zabezpieczającego przeciw Ransomware tylko te, "które nie blokują protokołu Remote Desktop (RDP)”, są bardziej narażone na ataki cyberprzestępców”. RDS-Tools to doskonały zestaw programów zabezpieczających zdalny pulpit przed wszelkimi atakami w sieci. Nasz produkt RDS-Tools został nominowany jako jeden

Czytaj