微软警告称,下一代勒索软件包装了“人性化”攻击

  • A+
所属分类:未分类

微软警告称,Ryuk,DoppelPaymer,Parinacota和其他勒索软件组织正在变得越来越复杂。

研究人员警告说,“人为操纵”的勒索软件活动正在变得越来越复杂,它们采用了传统防御团队无法应对的新感染策略和横向移动技术。

研究人员表示,“自动传播”勒索软件(如WannaCry和NotPetya )正成为头条新闻,因为这些攻击造成的停机时间极短 但是,诸如REvilBitpaymerRyuk之类的“人工”勒索软件正在采用新技术,使它们能够不受约束地在网络中运行。

例如,“人为操纵”的勒索软件攻击着眼于以高特权破坏帐户。 他们展现出丰富的系统管理知识和常见的网络安全配置错误。 研究人员说,一旦他们最初感染了系统并在机器上建立了立足点,它们也能够适应。 微软威胁防护情报小组的研究人员说,这使这些下一代勒索软件攻击者能够在渗透的目标环境中继续保持不败的状态。

研究人员在星期四说:“已知这些攻击利用网络配置的弱点和易受攻击的服务来部署破坏性的勒索软件有效载荷。” “尽管勒索软件是在这些攻击中采取的非常明显的行动,但人类操作人员还可以提供其他恶意有效载荷,窃取凭据以及从受感染网络访问和窃取数据。”  

微软表示,它观察到的一种趋势是“粉碎抢钱”技术,攻击者通过蛮力渗透到系统中,并继续部署勒索软件,凭证盗窃和其他攻击,所有这些操作在不到一个小时的时间内就减少了。受影响的受害者进行干预的机会。

研究人员利用这种方法追踪了一个流行的勒索软件组织,他们称其为Parinacota( 部署勒索软件也称为Dharma )长达18个月。 随着时间的流逝,该小组现在已经扩大到每周影响三到四个组织; 并将其策略和目标发展为“将受感染的计算机用于各种目的,包括加密货币挖掘,发送垃圾邮件或代理其他攻击。”

勒索软件

Parinacota使用粉碎和抓取方法。 他们首先强行进入暴露于Internet的易受攻击的远程桌面协议(RDP)服务器,然后快速扫描网络中的其他易受攻击的系统。 然后,他们对网络中的新目标执行RDP蛮力攻击,使其能够横向移动。 最后,他们执行凭证盗窃,部署加密采矿恶意软件并提供最终的勒索软件有效载荷。

Parinacota运营商还展示了有关其目标的深入知识,经常根据受害人由于对公司的影响或感知到的损失而支付的可能性,改变了他们要求的赎金(从0.5到2比特币不等)。目标的重要性。

研究人员说:“其他恶意软件家族,如GandCrab,MegaCortext,LockerGoga,Hermes和RobbinHood,也已将这种方法用于定向勒索软件攻击。” “但是,据观察,Parinacota可以适应他们可以利用的阻力最小的任何路径。 例如,他们有时会发现未打补丁的系统,并使用公开的漏洞来获得初始访问权限或提升特权。”

人为操纵的勒索软件活动的另一个特征是,它们通常始于“商品恶意软件”,例如银行木马。 研究人员说,这些攻击媒介被认为是“过分复杂的”,往往被认为不重要,因此没有进行彻底的调查和补救,从而使勒索软件操作者能够逃避防御者。

根据法律新闻网站LawSites本周的报道,这种技术已经证明对于Ryuk勒索软件是成功的,最近一次是在上周末对Epiq Global的攻击中发现的,Epiq Global导致法律服务公司将其系统在全球范围内下线 媒体报道称,攻击始于12月,TrickBot恶意软件感染了Epiq系统上的计算机。 据报道,在安装TrickBot之后,它为Ryuk操作员打开了一个反向外壳,使他们可以访问网络设备并加密受感染计算机上的文件。

DoppelPaymer勒索软件(最近见于从供应商窃取数据到SpaceX和Tesla的攻击中)也利用商品恶意软件作为初始感染媒介,在攻击的早期阶段使用Dridex恶意软件(通过伪造更新程序,网络钓鱼电子邮件中的恶意文档) ),然后在受影响的网络中的计算机上投放Doppelpaymer。 自2011年以来一直存在Dridex银行木马具有模糊处理功能,可帮助其避开反病毒检测。

“调查人员实际上已经发现了工件,表明在部署勒索软件之前几个月内,各种攻击者已经以某种方式破坏了受影响的网络,这表明这些攻击(和其他攻击)在安全控制和监控努力的网络中是成功的,而无法解决。研究人员说。

研究人员说,防止此类勒索软件攻击需要转变观念。 他们说,防御团队需要专注于“全面的保护,以减慢并阻止攻击者获得成功。”  

他们说:“人为操作的攻击将继续利用安全漏洞来部署破坏性攻击,直到防御者始终如一地积极地将安全最佳做法应用于其网络。”

为了跟上步伐,防御团队需要将IT专业人员更好地集成到安全团队中,因为攻击者利用许多IT管理员管理和控制的设置和配置。 安全团队还需要解决最初让攻击者进入的基础设施薄弱环节,因为勒索软件组通常多次攻击同一目标。 此外,安全团队需要了解,看似罕见,孤立或常见的恶意软件警报可以表明正在发生新的危险攻击。

研究人员说:“如果立即对这些警报进行优先排序,安全运营团队可以更好地缓解攻击并防止勒索软件负载。” “应该对诸如Emotet,Dridex和Trickbot之类的商品恶意软件感染进行补救,并将其视为对系统的潜在完全危害,包括系统上存在的所有凭据。”

对物联网的安全性以及5G如何改变威胁格局感兴趣? 加入我们的免费Threatpost网络研讨会“ 5G,奥林匹克运动和下一代安全挑战” ,我们的小组讨论了2020年预期的用例(奥林匹克运动将是第一个测试),5G安全风险为何不同,作用防御中的AI以及企业如何管理风险。 在这里注册

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: