för Zero Day
| November 21, 2019 — 01:30 GMT (01:30 GMT)
| Ämne: Säkerhet
Getty Images/iStockphoto
I ett uttalande som publicerades i dag, Microsoft har bakläxa rykten om att Microsoft Team som plattform för kommunikation och samarbete används av cyber-kriminella gäng för att plantera ransomware på företagets nätverk.
Precis som alla rykten, dess ursprung är okänt, men detta rykte började cirkulera på nätet i början av November efter flera företag i hela Spanien var infekterade med ransomware. Ryktet att Microsoft Lag var infektionen punkt för attacker lades fram på nätet genom Twitter-konton som inte är involverade i den officiella utredningen, och fördes till nominellt värde genom olika spanska nyheter butiker, hjälpa den att få mer fart, utan någon som helst förtjänst.
@MSFT365Status @Office365 @Microsoft Någon uppdatering på ransomware attack i företag i Spanien med “Microsoft Team”?
— Beowulf (@kampitofreak) 5 November, 2019
“Microsoft har varit att utreda den senaste tidens attacker från skadlig aktörer med Dopplepaymer ransomware,” sa Simon Påven, Director of Incident Response på Microsoft Security Response Center (MSRC).
“Det är vilseledande uppgifter som cirkulerar om Microsoft Team, tillsammans med referenser till RDP (BlueKeep), som ett sätt på vilket detta sprids skadlig programvara,” Påven läggas till.
“Vår säkerhet forskarlag har undersökt och funnit några bevis till stöd för dessa påståenden,” Microsoft exec sa. “I våra undersökningar har vi funnit att det skadliga programmet bygger på fjärrkontrollen för mänskliga operatörer som använder befintliga domänadministratör att spridas över ett företagsnätverk.”
Påven hänvisar här till en taktik där ransomware gäng få tillgång till en dator på ett företags interna nätverk genom olika metoder, utdrag referenser för den lokala domänen läggs till admin, och spridningen i sidled till fler datorer, kryptera sitt data längs vägen.
Förutom att avvisa rykten om att Microsoft slår på något sätt var inblandade i angreppen, Påven också upp en andra uppsättning av rykten har också gått runt på sociala medier och några tekniska nyheter webbplatser.
Dessa andra rykten hävdade att it-brottslingarna kan ha använt BlueKeep RDP sårbarhet för att installera DoppelPaymer ransomware, också med hänvisning till samma attacker upptäcks runt om i Spanien, och de påföljande, sådana som drabbade Mexikanska isarnas SMÄLTNING.
Även Microsoft Lag uppdatera sak upprepas av bevakningsföretag kommer från en enda tweet spekulera om det. Det är inte en sak, det var aldrig en sak, det är inte en vektor i ransomware. Den unsexy sanningen är angripare få domain admin.
— Kevin Beaumont (@GossiTheDog) Den 21 November, 2019
Detta är en första-av-dess-typ gå från företaget. Microsoft har aldrig förrän i dag utfärdat en sådan sträng uttalande att korrigera (så uppenbart falskt) online rykten.
Med facit i hand, både rykten skulle aldrig fångats på som de gjorde, med några upprepas i vissa medier artiklar, och kunde ha varit lätt motbevisas.
Först DoppelPaymer ransomware är en version av BitPaymer ransomware, och historiskt sett, har varit enbart distribueras via Dridex botnet eller Emotet botnät (eller både och).
Datorer infekterade med antingen Dridex eller Emotet malware är i vissa fall används för att ge ransomware gäng med manuell tillgång till företagens interna nätverk. Här, som Påven förklarade ovan, anfallare utdrag referenser för företagets interna nätverk för att sprida sidled till andra system och sedan installera DoppelPaymer på så många system som de kan.
För det andra, alla attacker var BlueKeep sårbarhet sattes in hade det slutliga målet är att installera ett cryptocurrency miner, något som var gjort klart av de två forskare som upptäckt och undersökte den första BlueKeep-attacker [1, 2], och även Microsoft själva.
Det har ännu inte ett offentligt dokumenterade fall där BlueKeep har använts för att installera ransomware.
Som säkerhet forskaren Kevin Beaumont och Rapid7 Chief Data Scientist Bob Rudis har sagt vid många tillfällen, de flesta av de skadliga RDP-trafik idag är RDP brute-force attacker — där angripare försöker gissa RDP-anslutning lösenord-snarare än att BlueKeep-relaterade utnyttjande trafik.
Japp. Kan bekräfta. https://t.co/4IDOwNfFRq
— boB Rudis (@hrbrmstr) den 21 November, 2019
Säkerhet
Chrome, Edge, Safari hacka på elite Kinesisk hacka tävling
Tusentals hackad Disney+ konton finns redan till försäljning på hacking forum
It-säkerhet är på väg in i en rekrytering krisen: Här är hur vi kan åtgärda problemet
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 21, 2019 — 01:30 GMT (01:30 GMT)
| Ämne: Säkerhet