HTCinside
عندما تواجه الشركة أهجوم رانسوم وير، يعتقد الكثير أن المهاجمين ينتشرون بسرعة ويتركون برنامج الفدية ، حتى لا يتم القبض عليهم. لسوء الحظ ، فإن الواقع مختلف تمامًا لأن الفاعلين في التهديد لا يتخلون عن مورد بسرعة كبيرة لدرجة أنهم عملوا بجد للسيطرة عليه.
بدلاً من ذلك ، تعمل هجمات برامج الفدية يومًا بعد شهر بمرور الوقت ، بدءًا من دخول مشغل برامج الفدية إلى الشبكة.
يرجع هذا الانتهاك إلى الكشف عن خدمات سطح المكتب البعيد أو نقاط الضعف في برنامج VPN أو الوصول عن بُعد بواسطة البرامج الضارة مثل TrickBot و Dridex و QakBot.
بمجرد وصولهم ، يستخدمون أدوات مثل Mimikatz و PowerShell Empire و PSExec وغيرها لجمع معلومات الاتصال ونشرها بشكل جانبي عبر الشبكة.
عند وصولهم إلى أجهزة الكمبيوتر الموجودة على الشبكة ، فإنهم يستخدمون بيانات الاعتماد هذه لسرقة الملفات غير المشفرة من أجهزة وخوادم النسخ الاحتياطي قبل حدوث هجوم برامج الفدية.
بعد وقوع الهجوم ، أبلغ الضحايا BleepingComputer أن مشغلي برامج الفدية غير مرئيين ، ولكن لا تزال شبكتهم في خطر.
هذا الاعتقاد بعيد كل البعد عن الحقيقة ، كما يتضح من الهجوم الأخير من قبل مشغلي Maze Ransomware.
اقرأ -اخترق الباحثون سيري وأليكسا وجوجل هوم من خلال تسليط الليزر عليهم
أعلن مشغلو Maze Ransomware مؤخرًا على موقع تسريب البيانات أنهم اخترقوا شبكة تابعة لشركة ST Engineering تسمى VT San Antonio Aerospace (VT SAA). الشيء المخيف في هذا التسريب هو أن Maze قد أصدر مستندًا يحتوي على تقرير قسم تكنولوجيا المعلومات للضحية حول هجوم الفدية.
تُظهر الوثيقة المسروقة أن Maze كان لا يزال على شبكته واستمر في التجسس على ملفات الشركة المسروقة أثناء استمرار التحقيق في الهجوم. هذا الوصول المستمر ليس من غير المألوف لهذا النوع من الهجوم. كبير المهندسين في McAfee ومدير التحقيق السيبراني جون فوكر
أخبر BleepingComputer أن بعض المهاجمين قرأوا رسائل البريد الإلكتروني الخاصة بالضحايا بينما كانت مفاوضات برامج الفدية جارية.
'نحن على علم بالحالات التي ظل فيها لاعبو برامج الفدية على شبكة الضحية بعد نشر برامج الفدية الخاصة بهم. في هذه الحالات ، قام المهاجمون بتشفير النسخ الاحتياطية للضحية بعد الهجوم الأولي أو أثناء المفاوضات التي تُركت. بالطبع ، لا يزال بإمكان المهاجم الوصول إليه وقراءة البريد الإلكتروني للضحية.
اقرأ -يستغل المتسللون الخوف من فيروس كورونا لخداع المستخدمين للنقر على رسائل البريد الإلكتروني الضارة
بعد اكتشاف هجوم فدية ، يجب على الشركة أولاً إغلاق شبكتها وأجهزة الكمبيوتر التي تعمل عليها. تمنع هذه الإجراءات تشفير البيانات المستمر وتمنع وصول المهاجمين إلى النظام.
بمجرد اكتمال ذلك ، يجب على الشركة الاتصال بمزود الأمن السيبراني لإجراء تحقيق شامل في الهجوم ومسح جميع الأجهزة الداخلية والعامة.
يتضمن هذا الفحص فحص أجهزة الشركة لتحديد الإصابات المستمرة ونقاط الضعف وكلمات المرور الضعيفة والأدوات الضارة التي خلفها مشغلو برامج الفدية.
يغطي التأمين الإلكتروني للضحية معظم الإصلاحات والتحقيقات في العديد من الحالات.
كما قدم Fokker و Vitali Kremez ، رئيس Advanced Intel ، بعض النصائح والاستراتيجيات الإضافية لتصحيح أي هجوم.
'غالبًا ما تتضمن أهم هجمات برامج الفدية للشركات اختراقًا كاملاً لشبكة الضحية ، بدءًا من الخوادم الاحتياطية ووصولاً إلى وحدات التحكم في المجال. من خلال التحكم الكامل في النظام ، يمكن للجهات الفاعلة في التهديد بسهولة تعطيل الدفاع وتنفيذ برامج الفدية الخاصة بهم.
'يجب أن تفترض فرق الاستجابة للحوادث (IR) التي تتعرض لمثل هذا التدخل العميق أن المهاجم لا يزال على الشبكة حتى تثبت إدانته. بشكل أساسي ، يعني هذا اختيار قناة اتصال مختلفة (غير مرئية لممثل التهديد) لمناقشة جهود IR المستمرة. '
'من المهم ملاحظة أن المهاجمين قاموا بالفعل بفحص Active Directory للضحية لإزالة أي حسابات خلفية متبقية. وقال فوكر لـ BleepingComputer 'يجب عليهم إجراء مسح كامل للإعلان'.
اقترح Kremez أيضًا قناة اتصال آمنة منفصلة وقناة تخزين مغلقة حيث يمكن تخزين البيانات المتعلقة بالمسح.
تعامل مع هجمات برامج الفدية على أنها انتهاكات للبيانات ، بافتراض أن المهاجمين ربما لا يزالون على الشبكة ، لذلك يجب على الضحايا العمل من الأسفل إلى الأعلى ، ومحاولة الحصول على أدلة جنائية تؤكد الفرضية أو تبطلها. غالبًا ما يتضمن تحليلًا جنائيًا كاملًا للبنية التحتية للشبكة ، مع التركيز على الحسابات ذات الامتيازات. تأكد من أن لديك خطة لاستمرارية العمل من أجل الحصول على قناة تخزين واتصال آمنة منفصلة (بنية تحتية مختلفة) أثناء تقييم الطب الشرعي ، 'قال Kremez.
حاول من الأسفل إلى الأعلى الحصول على أدلة جنائية تؤكد أو تبطل الفرضية. غالبًا ما يتضمن تحليلًا جنائيًا كاملًا للبنية التحتية للشبكة ، مع التركيز على الحسابات ذات الامتيازات. تأكد من أن لديك خطة لاستمرارية العمل من أجل الحصول على قناة تخزين واتصال آمنة منفصلة (بنية تحتية مختلفة) أثناء تقييم الطب الشرعي ، 'قال Kremez.
وجد كريمز أنه يوصى بإعادة تصور الأجهزة على شبكة ضعيفة. ومع ذلك ، قد لا يكون ذلك كافيًا لأنه من المحتمل أن يتمتع المهاجمون بوصول كامل إلى بيانات اعتماد الشبكة التي يمكن استخدامها لهجوم آخر.
'الضحايا لديهم القدرة على إعادة تثبيت الأجهزة والخوادم. ومع ذلك ، يجب أن تدرك أن المجرم ربما يكون قد سرق بالفعل أوراق الاعتماد. قد لا تكون إعادة التثبيت البسيطة كافية. 'واصل كريمز.
في النهاية ، من الضروري افتراض أن المهاجمين من المرجح أن يستمروا في مراقبة تحركات الضحية حتى بعد الهجوم.
لا يمكن أن يؤدي هذا التنصت إلى إعاقة تنظيف الشبكة التالفة فحسب ، بل قد يؤثر أيضًا على أساليب التفاوض إذا قرأ المهاجمون البريد الإلكتروني للضحية وظلوا في المقدمة.