勒索软件是如何通过攻击运营商后潜入你的网络

当一家公司遭受勒索软件攻击时，许多受害者都感到攻击者迅速部署了勒索软件并离开了，因此他们不会被抓住。

不幸的是，现实情况大不相同，因为威胁行动者并没有很快放弃他们难以控制的资源。取而代之的是，勒索软件攻击是在一段时间内进行的，范围从一天到一个月不等，始于勒索软件操作员破坏网络。

此漏洞是通过公开的远程桌面服务，VPN软件中的漏洞或通过TrickBot，Dridex和QakBot等恶意软件提供的远程访问来实现的。

一旦获得访问权限，他们便使用Mimikatz，PowerShell Empire，PSExec等工具收集登录凭据并在整个网络中横向传播。

DoppelPaymer攻击链

当他们获得对网络中计算机的访问权限时，他们会在部署勒索软件攻击之前使用这些凭据从备份设备和服务器窃取未加密的文件。

部署勒索软件后，许多受害者告诉BleepingComputer，尽管他们的网络仍然受到威胁，但他们认为勒索软件运营商现在已从系统中消失。

正如Maze Ransomware运营商最近的攻击所表明的，这种信念与事实相去甚远。

勒索软件攻击后，不断窃取文件

最近，迷宫勒索软件运营商在其数据泄漏站点上披露，他们已经入侵了ST Engineering子公司VT San Antonio Aerospace（VT SAA）的网络。

这次泄漏令人毛骨悚然的是，迷宫泄漏了一份包含受害者的IT部门关于其勒索软件攻击的报告的文档。

受害者关于Maze勒索软件攻击的报告。

这份被盗的文件显示，随着对攻击的调查继续进行，Maze仍潜伏在其网络中，并继续监视该公司的窃取文件。

对于这些类型的攻击，这种持续的访问并不罕见。

McAfee首席工程师兼网络调查主管John Fokker告诉BleepingComputer，在某些攻击中，即使勒索软件谈判正在进行中，威胁者仍在阅读受害者的电子邮件。

“我们知道有几种情况，勒索软件参与者在部署勒索软件后仍留在受害者的网络上。在这些情况下，攻击者在初次攻击后或在谈判期间对受害者的备份进行了加密，这清楚表明攻击者仍然可以访问和正在阅读受害者的电子邮件。”

专家的建议

在检测到勒索软件攻击之后，公司应该做的第一步就是关闭其网络和运行在其上的计算机。这些操作将阻止继续加密数据，并阻止攻击者访问系统。

完成此操作后，应引入第三方网络安全公司对攻击进行全面调查并审核所有内部和面向公众的设备。

该审核包括分析公司设备的持久性感染，漏洞，弱密码和勒索软件操作员留下的恶意工具。在许多情况下，受害者的网络保险单涵盖了补救和调查。

福克（Fokker）和高级英特尔（Intel）主席Vitali Kremez还提出了一些其他建议和策略，应采取适当的补救措施。

“更大的公司勒索软件攻击几乎总是涉及从备份服务器到域控制器的受害者网络的全面破坏。通过完全控制网络，勒索软件参与者可以轻松地关闭防御并部署勒索软件。”

“事件响应（IR）团队面临如此遥远的入侵，需要假设攻击者仍在网络中，除非另行证明。

这意味着首先要选择一个不同的通信渠道（威胁参与者不可见）来讨论正在进行的IR工作。”

Fokker向BleepingComputer解释说：“需要指出的重要一点是，攻击者已经在受害者的Active Directory中四处张望，因此为了清除所有剩余的后门帐户，需要进行完整的AD审查。”

Kremez还建议使用单独的安全通信通道以及可用于存储与调查有关的数据的隔离存储通道。

“将勒索软件攻击视为数据泄露事件，其假设是攻击者可能仍在网络内部。因此，受害者应自下而上地工作，以获取可验证或无效该假设的法医证据。通常包括全面的法医扫描着眼于特权帐户的网络基础架构。确保在进行取证评估时制定业务连续性计划，以拥有独立的安全通信和存储通道（独立的基础架构）。”

Kremez指出，建议对受感染网络上的设备进行重新映像，但这可能还不够，因为攻击者可能完全拥有可用于另一次攻击的网络凭据的访问权限。

“受害者应该潜在地重新安装计算机和服务器。但是，他们应该注意，犯罪分子可能已经窃取了凭据。仅仅重新安装可能还不够。他们还需要更改域密码，因为犯罪分子可能会使用此类凭据回来，” Kremez继续说道。

最终，至关重要的是要在这样的假设下进行操作：即使在袭击之后，袭击者仍可能仍在观察受害者的动向。

这种间谍活动不仅会妨碍破坏网络的清理工作，而且还可能影响谈判策略，因为攻击者会阅读受害者的电子邮件并保持领先一步。

来源：墙头漫剪