Атака вымогателей » A-list”

23.07.2020 Новости

Насколько безопасна ваша личная информация? Несколько знаменитых клиентов нью-йоркской юридической фирмы обнаружили, что это так же безопасно, как и самое слабое звено. Эти громкие жертвы стали самыми последними целями атаки вымогателей группы хакеров Revil (также известные как Содинокиби)- это сеть киберпреступников, которые предлагают RaaS (Ransomware-as-a-Service). После кражи данных злоумышленники начали сливать личную информацию клиентов, чтобы заставить фирму выплатить выкуп в размере 42 миллионов долларов.

COVID-19 и отношения с вымогателями.

Глобальная пандемия вызвала рекордный рост числа удаленных работников. В то время как компании поспешили предоставить удаленный доступ к своей рабочей силе, некоторые непреднамеренно упустили из виду адекватное обеспечение безопастности этих новых ресурсов. В результате количество «brute force» атак, нацеленных на учетные записи RDP (Remote Desktop Protocol), резко возросло и теперь исчисляется миллионами в неделю. RDP-это общий вектор атаки для киберпреступников, которые часто нацеливаются на плохо настроенные серверы и системы, работающие под управлением старых, необновлённых версий ОС. Методы атаки на эти серверы включают «brute force» и ввод учетных данных. Недавние похищения дампов учетных данных раскрыли учетные данные доступа многих пользователей. Скомпрометированные установки RDP также продаются киберпреступникам. Наконец,существует проблема угадываемых учетных данных (гость / гость, пользователь/пользователь, администратор/администратор и т. д.) используемых в системах внешнего доступа.

Может ли анализ сетевого трафика помочь предотвратить следующую атаку?

Учитывая тенденцию «работа из дома», которая, вероятно, сохранится в обозримом будущем, важно понять, как мы можем использовать данные сетевого потока для обнаружения и, возможно, даже предотвращения «brute force» атаки на RDP. Например, мы выделили эти паттерны из недавних атак вымогателей:

После компрометации RDP злоумышленники используют кражу учетных данных, латеральное перемещение и эксфильтрацию данных;

Некоторые атаки были недолговечными (smash and grab style).

Plixer Scrutinizer может служить неотъемлемым рубежом в рамках стратегии глубокой защиты организации. Последняя версия использует машинное обучение для обеспечения расширенного обнаружения угроз. Используя один из наших стандартных алгоритмов анализа потоков «Breach Attempt Violation» группы безопасности могут изолировать множество небольших потоков от одного источника к одному назначению. Этот паттерн может указывать на «brute force» атаку направленную на RDP. Затем вы можете настроить сигнализацию, которая автоматически уведомит вас, когда произойдет «brute force» нападение.

Злоумышленники часто сканируют блоки IP-адресов для хостов, которые отвечают, а затем устанавливают необычные входящие и исходящие RDP-соединения с другими странами и из них, чтобы облегчить эксфильтрацию данных. Группы безопасности могут использовать Scrutinizer для составления отчетов о трафике RDP по странам происхождения и назначения, выявляя потенциальные географические нарушения.

Некоторые атаки показали большое количество запросов к одному и тому же файлу, что указывает на возможную схему проб и ошибок. Иногда мы также видим несогласованный трафик между портами и приложениями как часть атаки. Мощные функции анализа сети и безопасности Plixer Scrutinizer могут помочь пользователям точно определить аномальный трафик и быстро предупредить группу реагирования на инциденты.

А что дальше?

Похоже, что атакам вымогателей не видно конца, поскольку киберпреступники продолжают развиваться и изобретать новые способы проникновения в ИТ-системы, используемые удаленными работниками. Но Plixer Scrutinizer может помочь обеспечить столь необходимую видимость. Plixer выделяется как лидер рынка в области анализа, визуализации и отчетности метаданных. Скачайте Scrutinizer и протестируйте его в своей собственной сети.

Поделиться