for Nul-Dag
| November 21, 2019 — 01:30 GMT (01:30 GMT)
| Emne: Sikkerhed
Getty Images/iStockphoto
I en erklæring offentliggjort i dag, at Microsoft har afvist rygter om, at dens Microsoft Teams, samarbejde og kommunikation-platform, der bruges af cyber-kriminelle bander til at plante ransomware på virksomhedens netværk.
Ligesom alle rygter, dens oprindelse er ukendt, men dette rygte begyndte at cirkulere på nettet i begyndelsen af November, efter at flere virksomheder i hele Spanien var inficeret med ransomware. Rygtet om, at Microsoft Hold var infektion punkt for angreb blev fremsat online af Twitter-konti, som ikke er involveret i den officielle efterforskning, og blev taget til pålydende værdi med forskellige spanske medier, hjælper det med at få mere momentum, uden nogen fortjeneste.
@MSFT365Status @Office365 @Microsoft en opdatering på ransomware angreb i de virksomheder, Spanien med “Microsoft-team”?
— Beowulf (@kampitofreak) November 5, 2019
“Microsoft har været at undersøge de seneste angreb fra ondsindede aktører, som bruger Dopplepaymer ransomware,” sagde Simon Pave, Direktør for Incident Response på Microsoft Security Response Center (MSRC).
“Der er vildledende oplysninger, der cirkulerer om Microsoft-team, sammen med henvisninger til RDP (BlueKeep), som måder, hvorpå denne malware spreder sig,” Pave tilføjet.
“Vores sikkerhed forskerhold har undersøgt og fandt ingen beviser til støtte for disse påstande,” Microsoft exec sagde. “I vores undersøgelser fandt vi, at malware er afhængig af eksterne menneskelige operatører, der anvender eksisterende Domæne Admin-legitimationsoplysningerne til at sprede sig på tværs af virksomhedens netværk.”
Paven henviser her til en taktik, hvor ransomware bander få adgang til en computer på virksomhedens interne netværk, ved hjælp af forskellige metoder, uddrag af legitimationsoplysninger for det lokale domæne admin, og bredte sig til flere computere, skal du kryptere deres data undervejs.
Udover at afvise rygter om, at Microsoft på en eller anden måde Holdene var involveret i den seneste angreb, Paven talte på et andet sæt af rygter, der har også været at gå rundt på de sociale medier og nogle tekniske nyheder.
Disse anden rygter hævdede, at cyber-kriminelle kunne have brugt BlueKeep RDP sårbarhed for at installere DoppelPaymer ransomware, også i forhold til samme angreb registreret i Spanien, og senere dem, som dem, der ramte Mexicanske stat olie selskab PEMEX.
Også, Microsoft Hold opdatering ting bliver gentaget af sikkerhed virksomheder er indkøbt fra et enkelt tweet spekulere over det. Det er ikke en ting, det var aldrig en ting, det er ikke en vektor i ransomware. Den unsexy sandheden er angribere få domæne admin.
— Kevin Beaumont (@GossiTheDog) November 21, 2019
Dette er den første af sin art, der bevæger sig fra virksomheden. Microsoft har aldrig frem til i dag udstedt en sådan stern erklæring til korrekt (så åbenlyst falsk) online rygter.
Set i bakspejlet, er både rygter skulle aldrig have fanget den, som de gjorde, med nogle bliver gentaget i nogle nyhedsmedier artikler, og kunne have været nemt modbevist.
Første, den DoppelPaymer ransomware er en version af den BitPaymer ransomware, og historisk set, har været udelukkende distribueres via Dridex botnet eller Emotet botnets (eller begge).
Computere inficeret med enten Dridex eller Emotet malware er i nogle tilfælde brugt til at give ransomware bander med manuel adgang til virksomhedernes interne netværk. Her, som Pave forklaret ovenfor, angribere uddrag legitimationsoplysninger til virksomhedens interne netværk til at sprede sig til andre systemer, og derefter installere DoppelPaymer på så mange systemer, som de kan.
For det andet, alle de angreb, der var BlueKeep sårbarhed blev indsat havde det endelige mål er at installere en cryptocurrency miner, noget, der blev gjort klart af de to forskere, der opdagede og undersøgte den oprindelige BlueKeep angreb [1, 2], og selv Microsoft selv.
Der er endnu ikke et offentligt dokumenteret tilfælde, hvor BlueKeep har været brugt til at installere ransomware.
Som sikkerhedsekspert Kevin Beaumont og Rapid7 Chief Data Videnskabsmand Bob Rudis har sagt ved mange lejligheder, de fleste af de skadelige RDP-trafik, der i dag er RDP brute-force-angreb, hvor angriberne forsøger at gætte RDP-forbindelse password-snarere end BlueKeep-relaterede udnyttelse trafik.
Jep. Kan bekræfte. https://t.co/4IDOwNfFRq
— boB Rudis (@hrbrmstr) November 21, 2019
Sikkerhed
Chrome, Edge, Safari hacket på elite Kinesisk hacking contest
Tusindvis af hackede Disney+ konti er allerede til salg på hacking fora
Cybersecurity er på vej ind i en ansættelse krise: Her er, hvordan vi løser problemet
Fastsættelse af data lækager i Jira (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 21, 2019 — 01:30 GMT (01:30 GMT)
| Emne: Sikkerhed