Bezpieczeństwo w Internecie • Blog • Ransomware
Microsoft ostrzega przed atakami Ransomware
9 września 2022
Irańska grupa zajmująca się cyberprzestępczością Phosphorus prowadzi kampanię oprogramowania ransomware w celu osiągnięcia osobistych korzyści – ujawnili wczoraj badacze z centrum analizy zagrożeń (MSTIC) Microsoftu.
Eksperci ds. bezpieczeństwa uważają, że podgrupa nazwana Nemesis Kitten i śledzona jako DEV-0270 prowadzi kilka złośliwych operacji, w tym szeroko zakrojone skanowanie podatności, w imieniu rządu irańskiego.
Podejrzewają również, że ze względu na charakter ataków, z których większość „nie miała strategicznej wartości dla reżimu”, nowo obserwowana kampania może nie być koordynowana przez rząd i zamiast tego jest prowadzona dla osobistych korzyści członków gangu.
Sposób przeprowadzania ataku
Przestępcy próbowali uzyskać dostęp przez różne znane luki w zabezpieczeniach, takie jak Exchange, Fortinet i Log4j 2. Po naruszeniu docelowego urządzenia lub sieci atakujący dokonywali wykrywania środowiska i kradzieży poświadczeń, uzyskiwali trwałość, eskalowali uprawnienia i wdrażali techniki wymijające aby uniknąć wykrycia.
„Grupa zagrożeń często używa natywnych poleceń WMI, sieci, CMD i PowerShell oraz konfiguracji rejestru w celu utrzymania ukrycia i bezpieczeństwa operacyjnego”, zgodnie z doradztwem bezpieczeństwa MSTIC. „Instalują również i maskują swoje niestandardowe pliki binarne jako legalne procesy, aby ukryć swoją obecność. Niektóre z legalnych procesów, które maskują swoje narzędzia, obejmują: dllhost.exe, task_update.exe, user.exe i CacheTask.”
Eksperci ds. bezpieczeństwa zauważyli, że ataki DEV-0270 często włączają szyfrowanie funkcją BitLocker za pomocą poleceń setup.bat, czyniąc urządzenie hosta bezużytecznym. Grupa hakerów wdraża DiskCryptor, narzędzie szyfrujące typu open source, na zhakowanych urządzeniach z systemem Windows za pośrednictwem protokołu RDP. Po uruchomieniu narzędzie zaczyna szyfrować cały dysk urządzenia i blokuje ofiarę ze stacji roboczej.
Wskazówki ekspertów
W biuletynie zabezpieczeń firma MSTIC zamieściła szereg wskazówek dotyczących łagodzenia skutków, które mają odstraszyć techniki specyficzne dla DEV-0270:
- Nadaj priorytet łataniu serwerów Exchange z dostępem do Internetu
- Zastosuj aktualizacje i poprawki zabezpieczeń, gdy tylko staną się dostępne
- Użyj zapory, aby uniemożliwić komunikację RPC i SMB
- Egzekwuj silne zasady haseł administratora
- Upewnij się, że Twoje oprogramowanie antywirusowe jest aktualne
- Twórz kopie zapasowe danych, aby zapobiec uszkodzeniom spowodowanym destrukcyjnymi atakami
Najlepszy sposób ochrony przed hakerami
Bitdefender Total Security
Podobne artykuły:
Jeden z największych programów partnerskich na rynku cyber W Polsce
Ewolucja usług MSP: Dlaczego SOC i XDR stają się standardem w dobie NIS2 i jak na tym zyskać?
Poza horyzont zgodności: Jak duet PKF Polska i Bitdefender definiuje odporność biznesu w 2026 roku
Audyt i technologia: Jak PKF Polska i Bitdefender Polska budują cyfrową odporność biznesu
Autor
Obecnie
Najnowsze wpisy
