Публикувано на 15 юни 2020 г. • 16:00 ч

етапи

Ransomware е една от многото заплахи, които присъстват в мрежата. Както знаем, хакерите използват този тип атака за криптиране на системите и файловете на потребителите. По-късно в замяна те ще поискат финансово спасяване. Това е начинът, по който те печелят. Вярно е, че има много инструменти и методи, които можем да използваме, за да се защитим, но хакерите усъвършенстват и своите атаки. В тази статия ще говорим за какви етапи използват киберпрестъпниците за рансъмуер.

Какви етапи използват за атака с рансъмуер?

Ние повтаряме доклад, направен от Киберезон. Те са създали меден съд, стръв, за да привлекат киберпрестъпници и по този начин анализират какви методи използват, за да извършват своите атаки на рансъуер на различни етапи.

Някои атаки се случват за определен период от време, тъй като те се опитват да повлияят на допълнителни ресурси в рамките на организацията. Използвайки меден съд, изследователите в областта на сигурността са успели да привлекат множество престъпници ransomware и следвайте всеки етап от атака.

В първи етап, атакуващите получиха първоначален достъп, използвайки публично достъпни интерфейси за дистанционно управление. Такива интерфейси обикновено са проектирани от мрежови оператори, за да дадат възможност на персонала за техническа поддръжка да се свързва отдалечено към мрежата. За да нахлуят в мрежата, нападателите успяха да принудят паролата на администраторския акаунт и да влязат дистанционно. След това престъпниците качиха и пуснаха скрипт PowerShell, за да създадат задна врата за киберпрестъпниците да използват и злоупотребяват с администраторския акаунт, без да бъдат открити.

В втори етап, хакери заредиха повече инструменти за атака чрез PowerShell. Един от тях беше Mimikatz, инструмент с отворен код, използван за кражба на потребителски идентификационни данни. Откраднатите идентификационни данни са използвани в опит да се придвижат странично през мрежата към контролери на домейни. Опитът обаче се провали, тъй като нито един от компрометираните акаунти няма разрешение за достъп до контролерите на домейни.

По-късно дойде етап трети. В тази стъпка атаката продължи да се опитва да се движи странично, като се възползва от мрежовия скенер, за да открие допълнителни крайни точки.

И накрая, в четвърти етап, ransomware стартира на всички компрометирани крайни точки.

Различни етапи за покриване на повече

Това проучване показва, че хакерите преминават през различни етапи, за да се опитат да достигнат до повече системи. Целта е заразяване с рансъмуер най-много оборудване.

Както споменахме, рансъмуерът е една от най-опасните заплахи в мрежата. От съществено значение е потребителите да предприемат стъпки за предотвратяване на този тип атаки. Освен възможните инструменти за сигурност, които използваме, ще бъде от съществено значение да се актуализира оборудването. Понякога се появяват уязвимости, които могат да бъдат използвани от хакери за атака. Но освен това здравият разум е много важен. В много случаи рансъмуерът пристига чрез обикновен имейл със злонамерени прикачени файлове.