日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Sophos:首次發(fā)現(xiàn)三個勒索軟件連續(xù)攻擊同一個網(wǎng)絡(luò)

Sophos X-Ops在報(bào)告中稱某汽車供應(yīng)商的系統(tǒng)在5月的兩周內(nèi)被三個不同的勒索軟件團(tuán)伙入侵,文件遭多重加密,其中兩次攻擊發(fā)生的間隔甚至是在兩小時內(nèi)。

在這些攻擊之前,2021年12月,一個可能的初始訪問代理(IAB)對該公司的系統(tǒng)進(jìn)行了初步入侵,攻擊者利用防火墻的錯誤配置,使用遠(yuǎn)程桌面協(xié)議(RDP)連接入侵域控制器服務(wù)器。

Sophos X-Ops在本周三發(fā)布的報(bào)告稱雖然雙重勒索軟件攻擊越來越常見,但這是他們看到的第一起三個獨(dú)立的勒索軟件攻擊者使用同一個入口點(diǎn)來攻擊一個組織的事件。

兩個月內(nèi)三次被攻破

在最初的入侵之后,LockBit、Hive和ALPHV/BlackCat的附屬攻擊組織也分別在4月20日、5月1日和5月15日進(jìn)入了受害者的網(wǎng)絡(luò)。

5月1日,LockBit和Hive勒索軟件的有效載荷在兩小時內(nèi)利用合法的PsExec和PDQ Deploy工具在整個網(wǎng)絡(luò)中分發(fā),在每次攻擊中加密了十多個系統(tǒng),與LockBit關(guān)聯(lián)的攻擊組織還竊取了數(shù)據(jù)并將其外流到Mega云存儲服務(wù)。

Sophos X-Ops 在報(bào)告中對事件細(xì)節(jié)進(jìn)行了補(bǔ)充,其表示由于Hive攻擊是在Lockbit之后2小時開始的,Lockbit勒索軟件仍在運(yùn)行,因此這兩個小組不斷發(fā)現(xiàn)沒有標(biāo)志著它們被加密的擴(kuò)展名的文件。

兩周后,5月15日,當(dāng)這家汽車供應(yīng)商的IT團(tuán)隊(duì)仍在恢復(fù)系統(tǒng)時,一個BlackCat攻擊者也連接到了被LockBit和Hive入侵的同一管理服務(wù)器。在安裝了合法的Atera Agent遠(yuǎn)程訪問解決方案后,攻擊者獲得了網(wǎng)絡(luò)上的持久性,并滲出了被盜數(shù)據(jù)。

在半小時內(nèi),BlackCat的附屬攻擊機(jī)構(gòu)在網(wǎng)絡(luò)上使用PsExec交付了自己的勒索軟件有效載荷,在使用被攻擊的憑證在網(wǎng)絡(luò)上橫向移動后,加密了六臺機(jī)器。

攻擊時間線

通過刪除影子副本和清除被攻擊系統(tǒng)上的Windows事件日志,這個最后的攻擊者也使恢復(fù)嘗試和Sophos團(tuán)隊(duì)的事件響應(yīng)工作變得復(fù)雜。

BlackCat刪除了Sophos可以用來追溯這三個勒索軟件團(tuán)伙在受害者網(wǎng)絡(luò)中活動的證據(jù)。

Sophos的事件響應(yīng)人員在5月中旬協(xié)助受害者進(jìn)行攻擊調(diào)查時,發(fā)現(xiàn)文件被Lockbit、Hive和BlackCat勒索軟件加密了三次,并在被加密的系統(tǒng)上發(fā)現(xiàn)了三種不同的贖金筆記。

“事實(shí)上,正如下面的截圖所示,一些文件甚至被加密了五次,”Sophos團(tuán)隊(duì)向外界透露稱?!耙?yàn)镠ive攻擊是在Lockbit之后2小時開始的,Lockbit勒索軟件仍在運(yùn)行,所以這兩個小組不斷發(fā)現(xiàn)沒有標(biāo)志著它們被加密的擴(kuò)展的文件?!?/p>

被加密了5次的文件

如何抵御勒索軟件

Sophos還發(fā)布了一份白皮書,分享了關(guān)于防御來自多個勒索軟件團(tuán)伙的類似攻擊的指導(dǎo)。

建議企業(yè)保持其系統(tǒng)的最新狀態(tài),并調(diào)查其環(huán)境中是否有威脅者引入的后門或漏洞,作為失敗的保障,以便在被驅(qū)逐時重新獲得對網(wǎng)絡(luò)的訪問。

Sophos還建議鎖定VNC和RDP等服務(wù)或從外部訪問的遠(yuǎn)程訪問解決方案。如果需要遠(yuǎn)程訪問,系統(tǒng)只能通過VPN到達(dá),并且只能通過具有強(qiáng)制多因素認(rèn)證(MFA)和強(qiáng)密碼的賬戶。網(wǎng)絡(luò)也應(yīng)該被分割,將關(guān)鍵的服務(wù)器分離到VLAN中,整個網(wǎng)絡(luò)都應(yīng)該被掃描和審計(jì),以及時發(fā)現(xiàn)未打補(bǔ)丁和有漏洞的設(shè)備。

消息來源:https://www.bleepingcomputer.com/news/security/automotive-supplier-breached-by-3-ransomware-gangs-in-2-weeks/


網(wǎng)頁標(biāo)題:Sophos:首次發(fā)現(xiàn)三個勒索軟件連續(xù)攻擊同一個網(wǎng)絡(luò)
轉(zhuǎn)載源于:http://www.dlmjj.cn/article/dpoipes.html