加入收藏 | 设为首页 | 会员中心 | 我要投稿 常州站长网 (https://www.0519zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 百科 > 正文

勒索软件组织继续以医疗行业和关键服务为目标,攻击持续上升

发布时间:2020-06-03 16:03:41 所属栏目:百科 来源:站长网
导读:副标题#e# COVID-19全球大流行,让远程工作变得越来越普遍,全球的商业领袖被迫对他们的基础设施进行通宵更改,IT主管和安全运营团队面临巨大的压力。然而,勒索软件组织并没有停止,攻击持续增长。 在此文章中,我们将对最近的勒索软件活动作深入分析。下面,我们
副标题[/!--empirenews.page--]

COVID-19全球大流行,让远程工作变得越来越普遍,全球的商业领袖被迫对他们的基础设施进行通宵更改,IT主管和安全运营团队面临巨大的压力。然而,勒索软件组织并没有停止,攻击持续增长。

  在此文章中,我们将对最近的勒索软件活动作深入分析。下面,我们将介绍:

  易受攻击且不受监控的联网系统非常容易被入侵

  各种各样的勒索软件攻击手法分析

  针对主动攻击的即时响应措施

  建立安全防护体系,以防御网络免受人工投毒攻击

  Bitdefender GravityZone:针对复杂且范围广泛的人工勒索软件的协同防御

  易受攻击且不受监控的联网系统容易被入侵

  黑客入侵后,可在环境中保持相对休眠状态,直到他们确定了部署勒索软件的适当时机。

  具有以下弱点的系统易受攻击:

  无多因素身份验证(MFA)的远程桌面协议(RDP)或虚拟桌面端点

  使用弱密码的旧系统,例如Windows Server 2003和Windows Server 2008

  配置错误的系统,Web服务器,包括IIS,电子健康记录(EHR)软件

  未修补的系统,你需要特别关注:CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600, CVE-2019-0604, CVE- 2020-0688, CVE-2020-10189

  攻击者经常使用工具(例如Mimikatz和Cobalt Strike)窃取凭证,横向移动,网络侦察和泄露数据。在这些活动中,黑客可以访问特权较高的管理员凭据,并准备在受到干扰时采取可能更具破坏性的措施。

  在攻击者部署了勒索软件的网络上,他们故意在某些端点上维护其存在,目的是在支付赎金或重建系统后重新启动恶意活动。我们观察到几乎所有的黑客组织在攻击过程中都在查看和窃取数据,随后他们可以在暗网中将公司的网络访问凭据出售,再次获利。

  所以,你需要主动修补/监控联网的系统,并采取缓解措施,以降低攻击风险。

  各种各样的勒索软件攻击手法分析

  尽管个别活动和勒索软件系列具有以下各节所述的独特属性,但这些勒索软件活动往往结合了人工投毒攻击,它们通常采用了类似的攻击战术,至于执行的Payload,完全取决于其个人风格。

勒索软件组织继续以医疗行业和关键服务为目标,攻击持续上升

  RobbinHood勒索软件

  RobbinHood勒索软件会利用易受攻击的驱动程序来关闭安全软件,它们通常对暴露资产进行远程桌面爆破。他们最终获得特权凭证,主要是具有共享或通用密码的本地管理员帐户,以及具有域管理员特权的服务帐户。像Ryuk和其他广为宣传的勒索软件组一样,RobbinHood运营商会留下新的本地和Active Directory用户帐户,以便在删除恶意软件和工具后重新获得访问权限。

  Vatet loader勒索软件

  攻击者通常会转移基础结构,技术和工具,以避开执法部门或安全研究人员的调查。Vatet是Cobalt Strike框架的自定义加载程序,早在2018年11月就已在勒索软件活动中出现,它是最近活动中浮出水面的工具之一。

  该工具背后的小组似乎特别针对医院,援助组织,生物制药,医疗设备制造商和其他关键行业。他们是这段时间里最多产的勒索软件运营商之一,已经造成了数十起案件。为了访问目标网络,他们利用CVE-2019-19781,RDP爆破并发送包含启动恶意PowerShell命令的.lnk文件的电子邮件。一旦进入网络,他们就会窃取凭据(包括存储在凭据管理器库中的凭据),并横向移动直到获得域管理员权限。

  NetWalker勒索软件

  NetWalker运营商发送大量的COVID-19信息的钓鱼邮件,来锁定医院和医疗保健商。这些电子邮件包含了恶意.vbs附件。除此之外,他们还使用错误配置的基于IIS的应用程序来启动Mimikatz并窃取凭据,从而破坏了网络,他们随后又使用这些凭据来启动PsExec,并最终部署了NetWalker勒索软件。

  PonyFinal勒索软件

  这种基于Java的勒索软件被认为是新颖的,但是活动并不罕见。其经营者入侵了面向互联网的Web系统,并获得了特权凭证。为了建立持久性,他们使用PowerShell命令启动系统工具mshta.exe,并基于常见的PowerShell攻击框架设置反向shell。他们还使用合法的工具来维护远程桌面连接。

  Maze 勒索软件

  Maze是首批出售被盗数据的勒索软件,Maze继续以技术提供商和公共服务为目标。Maze有攻击托管服务提供商(MSP)来访问MSP客户数据和网络的记录。

  Maze通过电子邮件发送,其运营商在使用通用媒介(例如RDP爆破)获得访问权限后,将Maze部署到了网络。一旦进入网络,他们就会窃取凭证,横向移动以访问资源并窃取数据,然后部署勒索软件。

  窃取凭证获得对域管理员帐户的控制权之后,勒索软件运营商使用Cobalt Strike,PsExec和大量其他工具来部署各种payload并访问数据。他们使用计划任务和服务建立了无文件持久化,这些任务和服务启动了基于PowerShell的远程Shell。他们还使用被盗的域管理员权限打开Windows远程管理以进行持久控制。为了削弱安全控制以准备勒索软件部署,他们通过组策略操纵了各种设置。

  REvil/Sodinokibi勒索勒索软件

  REvil(也称为Sodinokibi)可能是第一个利用Pulse VPN中的网络设备漏洞窃取凭据以访问网络的勒索软件,Sodinokibi访问MSP以及访问客户的网络后,盗窃并出售客户的文档和访问权,声名狼藉。在COVID-19危机期间,他们继续开展这项活动,以MSP和其他组织(例如地方政府)为目标。REvil在漏洞利用方面与其它组织有所不同,但攻击手法与许多其他组织类似,它们曾经依赖于像Mimikatz这样的凭据盗窃工具和PsExec等工具进行横向移动和侦察。

  其他勒索软件系列

  在此期间,其他人工投毒的勒索软件系列包括:

  Paradise,曾经直接通过电子邮件分发,但现在用人工投毒勒索软件攻击(Bitdefender已推出免费的解密工具)

  RagnarLocker,大量使用被盗的凭据,RDP爆破和Cobalt Strike攻击

  MedusaLocker,可能通过现有的Trickbot感染进行部署

  LockBit,使用公开的渗透测试工具CrackMapExec进行横向移动

  针对主动攻击的即时响应措施

  我们强烈建议组织立即检查是否有与这些勒索软件攻击有关的警报,并优先进行调查和补救。防御者应注意的与这些攻击有关的恶意行为包括:

  恶意PowerShell,Cobalt Strike和其他渗透测试工具

  盗窃凭据活动,例如可疑访问lsass.exe系统服务

  任何篡改安全事件日志,取证工件,例如USNJournal或安全代理的行为

(编辑:常州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读