Ransomware: چگونه با کلیک بر روی یکی ایمیل چپ یک کل کسب و کار در دردسر بزرگ

کارشناسان امنیتی داده اند یک بینش چگونه هدفمند ransomware حمله در زمان پایین شبکه ای از غذا و نوشیدنی تولید کننده پس از هکرها در زمان استفاده از آسیب پذیری های امنیتی مشترک.

کلاهبرداران با استفاده از یک حمله فیشینگ و در زمان استفاده از تعدادی از آسیب پذیری – از سخت افزار به طور پیش فرض رمز عبور – برای اولین بار اعزام Emotet و Trickbot نرم افزارهای مخرب قبل از تحویل Ryuk ransomware و تلاش برای گرفتن هزینه از قربانی برای بازگرداندن شبکه.

در این مورد سازمان نمی انتخاب کردن به پرداخت باج – چیزی است که مقامات دلسرد و تنها صندوق های اضافی حملات توسط مجرمان اینترنتی – اما در عوض تا به حال کارشناسان امنیتی در آمده به بررسی شبکه و بازگرداندن عملکرد در عرض 48 ساعت.

"این یک حمله هدفمند. این است که هدف قرار دادن سازمان ها مانند این است که اگر آنها نمی باید امنیت نگهدارنده و یا آن کارکنان واکنش اولیه خواهد بود برای به ransomware حمله به دلیل آنها می خواهند به بازگشت به عملیات خود را به سرعت" کل Sundaresan مدیر at&T, امنیت, گفته ZDNet.

ببینید: یک استراتژی پیروزی برای امنیت سایبر (ZDNet گزارش ویژه) | دانلود گزارش به عنوان یک PDF (TechRepublic)

AT&T بررسی حمله کرد unnamed تولید کننده دریافت آنلاین بدون دادن به باج تقاضا در حالی که همچنین تجربه حداقل میزان اختلال در تولید به عنوان امکان پذیر است. اما این شرکت به احتمال زیاد نمی خواهد کاهش یافته است قربانی اگر پایه آسیب پذیری های امنیتی تا به حال اجازه مراحل اولیه حمله به اتفاق می افتد.

Ryuk مانند برخی از اشکال دیگر از ransomware مستقر است به عنوان مرحله نهایی در یک حمله سه جانبه است که همچنین ارائه Emotet و Trickbot. Emotet آغاز زندگی به عنوان یک تروجان بانکی قبل از در حال تحول به یک باتنت است که اجاره به ارائه نرم افزارهای مخرب دیگر که در این مورد است Trickbot trojan.

Trickbot قدرتمند فرم از نرم افزارهای مخرب را فراهم می کند که مهاجمان با یک backdoor به خطر بیافتد سیستم از جمله توانایی به حرکت در اطراف شبکه های صدور دستورات و سرقت داده های اضافی.

بعد از این Ryuk ransomware دانلود شده است بر روی شبکه توسط هکرها از آنجا که مجرمان اینترنتی مشاهده و آن را به عنوان سریعترین و ساده ترین راه برای پول را از یک خطر بیافتد شبکه.

در حالی که بسیاری از ransomware مبارزات در حال حاضر شروع با هدف قرار دادن از راه دور پورت این یک شروع با یک حمله فیشینگ.

"یک کاربر فرستاده شد یک سند مایکروسافت ورد به عنوان بخشی از یک کمپین فیشینگ. آن را با برچسب به عنوان یک فاکتور و این کاربر دریافت سند و سپس کد های مخرب اعدام یک PowerShell را فرمان است که دریافت یک Emotet payload" Sundaresan توضیح داد.

دستورات PowerShell به طور کلی لازم نیست توسط کاربران که نیازی نیست که حقوق مدیر بنابراین اگر PowerShell را کرده بود غیر فعال شده است برای کسانی که به آن نیاز نیست که حمله سایبری می تواند ام قطع شده است در این نقطه است.

پس از Emotet تشکیل اولیه بخشی از این حمله به دست آوردن جای پایی در این شبکه گام بعدی استفاده از Trickbot نرم افزارهای مخرب برای سرقت اعتبارنامه های ورود به سیستم برای حساب های شرکت و خدمات ابر برای به دست آوردن دسترسی به سایر نقاط شبکه است.

با بهره برداری از این چرخه مجرمان سایبری قادر به دست آوردن کنترل بیش از نیمی از شبکه قبل از اینکه در نهایت ارائه Ryuk ransomware.

"نرم افزارهای مخرب مانند این می خواهد برای دریافت بیشتر بنگ برای جفتک انداختن و رفتن پس از سازمانها هستند که در نقطه ای که احساس می کنند مانند آنها نیاز به در با توجه به آسیب های آن را هزینه برای شبکه خود را از اطلاعات ارزشمند است که برگزار می شود – بنابراین آنها یک حس فوریت" گفت: Sundaresan.

این حمله می توانست بسیار بدتر از آن داده Ryuk بود یا نه کل شبکه اما حدود 60 درصد از آن از جمله سفارش و صدور صورت حساب برنامه های کاربردی. این در بخشی به دلیل امنیت پرسنل مورد شامل حمله پس از آن که به نام در توسط تولید کننده.

"توانایی مهار آن و زمان پاسخ بسیار مهم بود. توانایی برای مهار این حادثه این است که کلید بهبود یافتن از آن و داشتن کسب و کار و در حال اجرا قبل از آن را به مهم پایگاه داده" Sundaresan توضیح داد.

ظرف 48 ساعت بسیاری از کسب و کار را به بالا و دوباره در حال اجرا – مهمتر بدون داشتن با توجه به پرداخت باج تقاضا برای مجرمان است. اما دو روز از کار افتادگی شده اند هزینه برای سازمان و بازسازی شبکه نیست و به احتمال زیاد به ارزان شده است یا نه – plus وجود دارد چشم انداز نیاز به ارتقا امنیت در پی, پس حمله نمی, اعتصاب دوباره.

و مانند بسیاری از سازمان هایی که قربانی حملات سایبری این یکی می تواند مانع خود را از سقوط قربانی به ransomware توسط حصول اطمینان از امنیت سایبر بهداشت خوبی بود موفق – اما وجود دارد ساده برای رفع آسیب پذیری که مهاجمان قادر به استفاده از.

ببینید: Ransomware: 11 مراحل شما باید برای محافظت در برابر فاجعه

برای مثال آسیب پذیری که Emotet, Trickbot و Ryuk امکان استفاده از مورد شناخته شده است برای مدت زمان طولانی و انتقادی به روز رسانی های امنیتی صادر شده است برای محافظت از کاربران – اما با وجود این به روز رسانی که سال, سازمان وجود دارد که هنوز هم اعمال آنها.

"مایکروسافت از قرار دادن تکه های اما پچ مدیریت و امنیت و بهداشت و هنوز هم باقی می ماند مسائل برای سازمان" گفت: Sundaresan که اضافه شده است که این ransomware حمله می ام نیز جلوگیری شده است اگر کلمات عبور قوی و چند عاملی احراز هویت شده و با توجه به سیستم های امن.

"بسیاری از این می توان جلوگیری کرد. اگر آنها نمی باید به طور پیش فرض رمز عبور و پایان زندگی و ماشین های زیادی از این امر بوده است جلوگیری کرد."

و وقتی که می آید به حملات سایبری پیشگیری بهترین درمان است زیرا نه تنها آن را متوقف سازمان خود را از سقوط قربانی به ransomware و یا نرم افزارهای مخرب دیگر هزینه های تامین امنیت شبکه در پیش است و مسلما رفتن به کمتر گران تر از نیاز به آن را انجام دهد پس از یک حادثه – به خصوص اگر حمله مختل عملیات و یا باعث آسیب های اعتباری است که می تواند نگه داشتن مشتریان به دور است.

بنابراین در حالی که آن را ممکن است به طور بالقوه به نظر می رسد گران قیمت آن می تواند بسیار با ارزش داشتن کارشناسان امنیتی از خارج از سازمان در آمده به بررسی شبکه قبل از آسیب انجام می شود – و نه بعد از آن.

"دریافت یک ارزیابی امنیتی انجام می شود از یک حمله مهاجم نقطه نظر, شما نمی خواهید به انجام طرح امنیت از انطباق یا داخلی تست – این کافی نیست. شما را به شبکه خود را آزمایش با استفاده از چند حمله بردار و شما باید آن را عینی کامل با تست نفوذ," Sundaresan گفت.

چرا که در نهایت ransomware – می شود آن را Ryuk و یا خانواده دیگر – است که هنوز هم وجود دارد و هنوز هم یک تهدید به دلیل بیش از حد بسیاری از سازمان نیست پس امنیت اصول. و تا زمانی که این ثابت است ransomware یک مشکل باقی می ماند.

بیشتر در امنیت سایبر