Die Realitäten von Ransomware: Die Augeneines eines Angriffs

0
313

Der Managed Threat Response Manager bietet eine einzigartige Perspektive auf die Realitäten, das Ziel von Ransomware zu sein.

Keine Organisation will Opfer von Cyberkriminalität werden. Aber wenn es Sicherheitslücken in Bezug auf Fehlkonfigurationen, aufgedeckte Assets oder nicht adressierte Schwachstellen gibt, ist es wahrscheinlich, dass Cyber-Angreifer sie finden und ausnutzen werden, und es könnte Monate oder sogar länger dauern, bis das Opfer herausfindet, was passiert ist. Sophos‘ Incident Responder helfen Unternehmen dabei, die Auswirkungen von Angriffen zu erkennen, zu blockieren und zu mildern. So sehen sie aus erster Hand, wie sich Cyberkriminalität auf die Opfer auswirkt.

Ein Erpresserbrief von STOP Ransomware

Totale Sicherheit ist ein Mythos

Die Standard-Cybersicherheitsmaxime ist, dass Verteidiger die ganze Zeit Recht haben müssen, während ein Angreifer nur einmal Recht haben muss. Dies ist eine demoralisierende Botschaft für IT-Sicherheitsteams und nur teilweise wahr. Sie benötigen Sicherheitsebenen, die die Angriffskette an verschiedenen Stellen durchbrechen können. Dieser Ansatz ist wichtig, weil Angreifer sehr geschickt darin sind, sich zu verschleiern, um den Verdacht von Sicherheitsteams nicht zu wecken und Erkennung ensonurzumachen.

Dazu missbrauchen sie unter anderem legitime IT-Tools, um Sicherheitstechnologien zu umgehen, Computer zu scannen und sich seitlich durch das Netzwerk zu bewegen. Darüber hinaus kompromittieren sie regelmäßig bestehende Admin-Konten, sodass sie sich in Sichtweite verstecken können. Wenn sie auf ihren Spuren gestoppt werden, werden sie etwas anderes versuchen.

Dies bringt uns zu einem der wichtigsten Aspekte von Cyberangriffen und zu einem, den die Opfer oft unterschätzen: Sie kämpfen nicht gegen Code; Du kämpfst gegen Menschen.

Die Betreiber der SamSam Ransomware in Hin und Her Chat mit ihren Opfern beschäftigt

Hände auf Tastaturen

Während die anfängliche Verletzung automatisiert und möglicherweise opportunistisch sein kann, ist es oft eine Person, die die Tools und Angriffe bedient, sobald der Angreifer in Ihrem Netzwerk Fuß gefasst hat, und sie werden gezielt und bestimmt.

In einem Vorfall, der von Vorfallhelfern beobachtet wurde, versuchte ein Widersacher, ein Opfer durch vier verschiedene Angriffsmethoden innerhalb von nur 15 Minuten zu kompromittieren. Nachdem alle Versuche blockiert wurden, versuchte der Angreifer, die oft ungeschützte Route von RDP zu verwenden, und an diesem Punkt offenbarte er die IP des Computers, den er benutzte, und identifizierte sich dem Sicherheitsteam. Spielende.

Die Herausforderung für die Opfer ist, dass die häufige Verwendung legitimer Tools durch Angreifer bedeutet, dass IT-Sicherheitsteams besonders wachsam sein müssen, um herauszufinden, ob diese Tools für böswillige Zwecke verwendet werden oder nicht.

Quelle: Sophos