勒索软件组织继续以医疗行业和关键服务为目标，攻击持续上升

  使用 BitDefender GravityZone Elite Security 和 BitDefender GravityZon Ultra Security 的客户可以在管理控制台实时查阅每个安全事件的详细调查报告,以获取有关相关警报,包含详细的攻击时间表,查看缓解建议,响应措施。

  图1- Bitdefender GravityZone控制台,事件,调查视图

  如果您的网络受到影响,请立即执行以下范围和调查活动,以了解此安全事件的影响。仅仅使用危害指标,payload,可疑文件来确定这些威胁的影响并不是一个持久的解决方案,因为大多数勒索软件活动都为活动使用“一次性”套件,一旦确定了安全软件具有检测能力,便经常更改其工具和系统。

  —调查受影响的端点和凭据

  调查受这些攻击影响的端点,并标识这些端点上存在的所有凭据。假定攻击者可以使用这些凭据,并且所有关联帐户都受到了威胁。请注意,攻击者不仅可以转储已登录交互式或RDP会话的帐户的凭据,还可以转储存储在注册表的LSA Secrets部分中的服务帐户和计划任务的缓存的凭据和密码。

  检查Windows事件日志中是否存在泄漏后登录,查看审核失败事件,查看事件ID为4624,登录类型为2或10的事件。对于其他任何时间范围,请检查登录类型4或5。

  —隔离被入侵的端点

  从管理控制台中立即隔离可疑的或已成为横向移动目标的端点,或使用高级搜寻语法查询搜索相关IOC的方法找到这些端点,从已知的受影响的端点寻找横向运动。

  Bitdefender管理控制台具有隔离主机,远程连接功能,如下:

  图2- Bitdefender GravityZone控制台,事件分析,隔离主机,远程连接视图

  —安全加固

  您可以使用Bitdefender漏洞扫描与补丁管理,风险管理来修复端点的漏洞,配置错误:

  计划漏洞扫描和安装补丁,主动发现资产的漏洞清单,确定优先级,自动修复操作系统和第三方程序漏洞,Bitdefender允许安全管理员和IT管理员无缝协作以解决问题。

  设置风险扫描计划,主动评估端点的攻击面,例如:Windows安全基线扫描,配置错误,程序漏洞等

  配置防火墙策略,阻止未经授权的网络访问

  通过事件搜寻,查找和解决攻击源

  图3- Bitdefender GravityZone控制台,补丁清单视图

  图4- Bitdefender GravityZone控制台,风险管理,公司风险评分和态势视图

  图5- Bitdefender GravityZone控制台,安全风险视图

  图6 安全报表-网络事件,查看攻击者IP

  —检查和重置被恶意软件感染的设备

  许多勒索软件运营商通过Emotet和Trickbot等恶意软件感染,然后进入目标网络。这些恶意软件家族通常被认为是银行木马,已被用来提供各种payload,包括持久化工件。研究和补救任何已知的感染,并认为它们可能是复杂的人类对手的病媒。在重建受影响的端点或重置密码之前,请确保检查暴露的凭据,其他payload和横向移动。

  建立安全防护体系,以防御网络免受人工投毒攻击

  勒索软件运营商仍在不断挖掘新的攻击目标,防御者应使用所有可用工具主动评估风险。您应该继续执行经过验证的预防性解决方案- 设置复杂的密码,并定期更改,最小特权,保持操作系统和应用程序最新,安装超一流的反病毒软件,保持更新,系统遵循Windows安全基线设置,配置防火墙,执行备份- 来阻止这些攻击,利用监视工具不断改善安全。

  应用以下措施可使您的网络更灵活地抵御新的勒索攻击,横向移动:

  使用LAPS之类的工具随机化本地管理员密码。

  应用帐户锁定策略。

  利用Bitdefender的漏洞扫描与补丁管理功能修复漏洞

  使用Bitdefender风险管理评估安全风险,并修复风险指标。

  利用主机防火墙限制横向移动。屏蔽445端口会严重破坏对手的活动。

  配置内网的计算机通过Bitdefender中继转发云安全查询,以获取最新的威胁情报,涵盖快速发展的攻击工具和技术。基于云的机器学习保护可阻止绝大多数新的和未知的变种。

  打开密码保护功能,以防止攻击者卸载安全软件。

  开启Bitdefender的高级威胁防护,网络攻击防护,无文件攻击防护,HyperDetect可调节机器学习,云沙盒,高级反漏洞利用模块,从各个维度屏蔽黑客的活动

  拦截高级勒索软件

  阻止漏洞利用

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!