Вымогателей: эти тревожные признаки могут означать, что вы уже под атакой

Коронавирус, Удаленная работа, процессы: ключ кибербезопасности проблемы

Смотреть Сейчас

Есть аж 100 исков к страховщикам за нападения вымогателей с каждым днем, по одной из оценок. И как в среднем нападении вымогателей может занять от 60 до 120 дней, чтобы перейти от первоначального нарушения безопасности до поставки фактическое вымогателей, это означает, что сотни компаний могли бы хакеров, скрывая в своих сетях в любое время, готовится для запуска своей сети-шифрование вредоносных программ.

Итак, каковы первые показатели для компаний, которые пытаются обнаружить атаки вымогателей, прежде чем они нанесут слишком большой урон? Любой Что делать, если они обнаруживают нападение в прогресс?

Подробнее о конфиденциальности

  • Microsoft, чтобы применить закон о неприкосновенности частной жизни в Калифорнии для всех нас, пользователей
  • Чтение мыслей технология: угроз безопасности и конфиденциальности впереди
  • Как заменить каждого сервиса, с более частную жизнь удобной альтернативы
  • Кибербезопасность 101: защитите вашу частную жизнь от хакеров, шпионов, и правительство

Шифрование файлов с помощью программы-вымогатели-это последнее, что происходит, до этого, мошенники будут тратить недели, а то и дольше, исследуя в сети, чтобы обнаружить слабые места. Одним из наиболее популярных маршрутов для банды вымогателей, чтобы сделать свой путь в корпоративные сети через протокол удаленного рабочего стола (RDP) одной левой выхода в интернет.

См.: вымогателей: пять причин, почему ваша самая большая головная боль безопасности отказывается уходить

«Посмотрите на свое окружение и понять, что воздействие РДП является, и убедитесь, что у вас есть двухфакторная аутентификация на эти ссылки или у них за VPN», — сказал Джаред Фиппс, вице-президент по безопасности SentinelOne компании.

Блокировка синдрома означает, что все сотрудники работают на дому, и так больше компаний открывают РДП ссылки, чтобы облегчить удаленный доступ. Это дает банд вымогателей открытие, Фиппс сказал, чтобы сканирование веб-систем на открытые порты протокол RDP является первым шагом.

Другой предупреждающий знак может быть неожиданным программных средств, появляющихся в сети. Злоумышленники могут начать с контроля только один компьютер в сети – возможно, через фишинг-письма (действительно, волна фишинга может служить показателем атаки, и если персонал хорошо обучен, чтобы обнаружить их, это может обеспечить раннее предупреждение). Этот плацдарм в Сеть, хакеры будут исследовать оттуда, чтобы увидеть, что еще они могут найти, чтобы напасть.

Это означает, что с помощью сетевых сканеров, таких как AngryIP или продвинутый сканер портов. Если эти обнаруженные в сети, это время, чтобы проверить в с вашей службой безопасности. Если никто не признается внутренне с использованием сканера, это время, чтобы изучить, по данным Центра безопасности компании Sophos, в которой были приведены некоторые из признаков того, что нападения вымогателей может быть ведется в недавнем сообщении в блоге.

Смотри: внутри нападении вымогателей: от первого нарушения требуют выкуп

Еще один красный флаг обнаружении MimiKatz, который является одним из инструментов, наиболее часто используемых хакерами, вместе с Майкрософт процесс Explorer, в своих попытках украсть пароли и логины, пароли, разрешения, сказал.

Как только они получили доступ к сети, вымогателей бандиты будут часто рядом попытаться увеличить свое присутствие за счет создания администратором счета, для себя, например в Active Directory и использовать дополнительную мощность, чтобы начать отключение защиты программного обеспечения с помощью приложений, созданных для оказания помощи принудительного удаления программного обеспечения, таких как процесс хакер, IObit деинсталлятор, GMER, и ПК охотник, сказал антивирус. «Эти типы коммерческих инструментов являются законными, но в чужие руки, специалисты по безопасности и админов нужно спросить, почему они вдруг появились,» фирмы безопасности сказал.

Чтобы этого не произошло, компании должны искать учетные записи, которые создаются за пределами вашего билетная система или система управления счетом, — сказал SentinelOne по Фиппс. После того, как злоумышленники получили полномочия администратора, то они пытаются распространиться дальше по сети с помощью PowerShell.

Весь проект может занять несколько недель, а может даже и месяцев, для банды вымогателей выполняет. Это отчасти потому, что чем медленнее они двигаются через компьютерную сеть, тем сложнее их обнаружить. И многие инструменты безопасности только записывать сетевой трафик для определенного количества времени, что означает, что, если хакеры продержаться некоторое время это становится намного тяжелее для команды безопасности, чтобы выяснить, как они попали в систему в первую очередь.

«Это как бортовой самописец: если вы будете ждать достаточно долго, он записывает за нападение и нет никаких доказательств, что они уже это понял», — сказал Фиппс. «Это делает это тяжелее для людей, чтобы выяснить и заняться расследованием, потому что все средства безопасности, которые они не показывают никаких данных на запись.»

Также существуют некоторые явные признаки того, что нападения вымогателей приближается к завершению. Злоумышленники попытаются отключить активные каталога и контроллеров домена, и повредить все резервные копии, они не могут найти, а также отключить все системы развертывания программного обеспечения, которые могут быть использованы, чтобы подтолкнуть патчи или обновления. «И тогда они будут тебя бить с атакой», — сказал Фиппс.

Компания Sophos также отметила, что на данный момент банда может попытаться зашифровать несколько устройств, просто чтобы увидеть, если их план сработает: «это будет показывать свои силы, и злоумышленники знают, что их время ныне общества».

См.: вымогатели: как нажатием на одно письмо оставил весь бизнес в большой беде

Так как остановить нападавших, когда они находятся в? По словам Фиппса, самое главное-это получить контроль над RDP сессий, потому что останавливает нападающих приходит и отрезает их командования и управления доступом. Другие меры, как принудительное изменение пароля через ядро системы, могут быть полезны, но если хакеры могут использовать RDP, чтобы вернуться в сеть, всего в нескольких шагах, как, что будет подорвано. Также важно следить за неожиданного появления учетные записи админ и фирм следует рассматривать мониторинг или ограничение использования PowerShell для.

Как можно сделать в вашей организации сложнее, а значит менее привлекательной мишенью для банды вымогателей считать? Программа учета пропатчена до даты ключевых; многих вымогателей атаки полагаются на недостатки программного обеспечения для работы, но чаще всего эти недостатки уже давно исправлены с помощью программного обеспечения компаний – вам просто нужно провести патч. Для нападения вымогателей, которые приходят по электронной почте, обучение сотрудников, чтобы не нажать на случайные связи, и сочетая надежные пароли двухфакторной аутентификации через максимально возможное количество систем, также поможет сдержать или замедлить нападающих.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *