HTCinside
Quando uma empresa está passando por umataque de ransomware, muitos acreditam que os invasores rapidamente implantam e abandonam o ransomware, para que não sejam pegos. Infelizmente, a realidade é muito diferente porque os atores da ameaça não desistem de um recurso tão rápido que trabalharam tanto para controlá-lo.
Em vez disso, os ataques de ransomware ocorrem dia a mês ao longo do tempo, começando com a entrada de um operador de ransomware em uma rede.
Essa violação se deve a serviços de desktop remoto expostos, vulnerabilidades no software VPN ou acesso remoto por malware como TrickBot, Dridex e QakBot.
Depois de ter acesso, eles usam ferramentas como Mimikatz, PowerShell Empire, PSExec e outras para coletar informações de conexão e espalhá-las lateralmente pela rede.
Quando eles acessam computadores na rede, eles usam essa credencial para roubar arquivos não criptografados de dispositivos e servidores de backup antes que o ataque de ransomware aconteça.
Após o ataque, as vítimas relataram ao BleepingComputer que os operadores de ransomware não são visíveis, mas ainda assim, sua rede está em risco.
A crença está longe da verdade, como evidenciado por um ataque recente dos operadores do Maze Ransomware.
Ler -Pesquisadores hackearam Siri, Alexa e Google Home lançando lasers neles
Os operadores do Maze Ransomware anunciaram recentemente em seu site de vazamento de dados que invadiram a rede de uma subsidiária da ST Engineering chamada VT San Antonio Aerospace (VT SAA). O assustador desse vazamento é que a Maze divulgou um documento contendo o relatório do departamento de TI da vítima sobre seu ataque de ransomware.
O documento roubado mostra que Maze ainda estava em sua rede e continuou espionando os arquivos roubados da empresa enquanto a investigação do ataque continuava. Esse acesso contínuo não é incomum para esse tipo de ataque. John Fokker, engenheiro-chefe e gerente de investigação cibernética da McAfee
disse ao BleepingComputer que alguns invasores leram os e-mails das vítimas enquanto as negociações de ransomware estavam em andamento.
“Estamos cientes de casos em que jogadores de ransomware permaneceram na rede de uma vítima após a implantação de seu ransomware. Nesses casos, os invasores criptografaram os backups da vítima após o ataque inicial ou durante as negociações deixadas para trás. Obviamente, o invasor ainda poderia acessá-lo e ler o e-mail da vítima.
Ler -Hackers estão explorando o medo do coronavírus para induzir os usuários a clicar em e-mails maliciosos
Depois que um ataque de ransomware é detectado, uma empresa deve primeiro desligar sua rede e os computadores em execução. Essas ações impedem a criptografia contínua de dados e negam o acesso de invasores ao sistema.
Quando isso for concluído, a empresa deve ligar para um provedor de segurança cibernética para fazer uma investigação completa do ataque e verificação de todos os dispositivos internos e públicos.
Essa verificação inclui a verificação dos dispositivos da empresa para identificar infecções persistentes, vulnerabilidades, senhas fracas e ferramentas maliciosas deixadas por operadores de ransomware.
O seguro cibernético da vítima cobre a maioria dos reparos e investigações em muitos dos casos.
Fokker e Vitali Kremez, presidente da Advanced Intel, também deram algumas dicas e estratégias adicionais para corrigir um ataque.
“Os ataques de ransomware corporativos mais significativos quase sempre envolvem um comprometimento completo da rede da vítima, de servidores de backup a controladores de domínio. Com controle total sobre um sistema, os agentes de ameaças podem facilmente desabilitar a defesa e implementar seu ransomware.
“As equipes de resposta a incidentes (IR) que estão sujeitas a uma interferência tão profunda devem presumir que o invasor ainda está na rede até que se prove a culpa. Principalmente, isso significa escolher um canal de comunicação diferente (não visível para o agente da ameaça) para discutir os esforços de RI em andamento. ”
“É importante observar que os invasores já verificaram o Active Directory da vítima para remover quaisquer contas de backdoor restantes. Eles devem fazer uma varredura completa do AD”, disse Fokker ao BleepingComputer.
Kremez também propôs um canal de comunicação seguro separado e um canal de armazenamento fechado onde os dados relacionados à pesquisa podem ser armazenados.
Trate os ataques de ransomware como violações de dados, assumindo que os invasores ainda podem estar na rede, portanto, as vítimas devem trabalhar de baixo para cima, tentar obter evidências forenses que confirmem ou invalidem a hipótese. Geralmente inclui uma análise forense completa da infraestrutura de rede, com foco em contas privilegiadas. Certifique-se de ter um plano de continuidade de negócios para ter um armazenamento seguro separado e um canal de comunicação (infraestrutura diferente) durante a avaliação forense”, disse Kremez.
De baixo para cima, tente obter evidências forenses que confirmem ou invalidem a hipótese. Geralmente inclui uma análise forense completa da infraestrutura de rede, com foco em contas privilegiadas. Certifique-se de ter um plano de continuidade de negócios para ter um armazenamento seguro separado e um canal de comunicação (infraestrutura diferente) durante a avaliação forense”, disse Kremez.
Kremez descobriu que é recomendável reimaginar dispositivos em uma rede vulnerável. Ainda assim, pode não ser suficiente porque os invasores provavelmente terão acesso total às credenciais de rede que podem ser usadas para outro ataque.
“As vítimas têm potencial para reinstalar máquinas e servidores. No entanto, você deve estar ciente de que o criminoso já pode ter roubado as credenciais. Uma simples reinstalação pode não ser suficiente. “Kremez continuou.
Em última análise, é essencial supor que os invasores provavelmente continuarão monitorando os movimentos da vítima mesmo após um ataque.
Essa espionagem pode não apenas dificultar a limpeza de uma rede danificada, mas também afetar as táticas de negociação se os invasores lerem o e-mail da vítima e ficarem à frente.