Denne nye ransomware er blevet opdaget i to meget forskellige angreb, siger forskere

0
163

Danny Palmer Skrevet af Danny Palmer, Senior Reporter Danny Palmer Danny Palmer Senior Reporter

Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.

Fuld bio den 24. februar 2022 | Emne: Sikkerhed Inde i en ransomware-bande: Pas på disse aggressive taktikker Se nu

En ny form for ransomware er blevet opdaget af sikkerhedsfirmaets forskere, efter at de så det blive brugt mod to forskellige organisationer.

Dubbet Entropy, den nye ransomware er blevet detaljeret beskrevet af cybersikkerhedsforskere hos Sophos, som afslørede det på netværkene af to organisationer – en medievirksomhed og en regional regering – efter at være blevet tilkaldt for at undersøge de to separate hændelser inden for en uges tid.

Angriberne kompromitterede medievirksomheden ved at udnytte ProxyShell-sårbarheder til at installere eksterne shells på ikke-patchede Microsoft Exchange-servere, før de brugte Cobalt Strike, et legitimt penetrationstestværktøj, der ofte udnyttes af cyberkriminelle, til at undersøge netværket over en periode på fire måneder. Analyse af inficerede maskiner afslørede også, at Dridex trojanske malware var blevet installeret.

SE: Cybersikkerhed: Lad os være taktiske (ZDNet-særrapport)

Dridex blev også fundet på den regionale regeringsorganisations netværk. I dette tilfælde blev Dridex leveret direkte via en phishing-e-mail. Derefter blev malwaren selv brugt til at levere yderligere malware og fjernadgang. I dette angreb gik der kun 75 timer mellem det første kompromis og de cyberkriminelle, der stjal data.

“De brugte begge Dridex, og det udløste åbenbart et par alarmklokker,” sagde Peter Mackenzie, direktør for hændelsesberedskab hos Sophos, til ZDNet.

Dridex har været aktiv siden mindst 2011 og blev et populært værktøj for cyberkriminelle til at distribuere malware, ransomware og andre ondsindede nyttelaster. I 2019 annoncerede det amerikanske justitsministerium sigtelser mod to russiske statsborgere, der er mistænkt for at stå bag Dridex.

Faktisk, da de analyserede Entropy, en ny ransomware-variant, identificerede detektionsværktøjer det oprindeligt som Dridex selv på grund af ligheder i koden. Ikke kun det, men analyse af malwaren viste, at der var blevet gjort yderligere arbejde for at optimere den.

Den opdaterede kode indeholder også tekst, der nævner den målrettede organisations navn, efterfulgt af “…falls apart. Entropy Increases”, som er en linje fra John Greens roman fra 2005, Looking For Alaska.

Dridex er knyttet til Evil Corp, en cyberkriminel bande bag en række ransomware-angreb, der implementerer varianter, herunder BitPaymer, DoppelPaymer, WastedLocker, Hades og Macaw ransomware. Det er dog også muligt, at koden er blevet lånt eller stjålet, og dette kan være et vildledende forsøg fra andre cyberkriminelle. Naturen af ​​malware-økosystemet betyder, at det er ekstremt svært at være 100 % sikker på tilskrivning.

Som forskere bemærker, havde begge mål sårbare Windows-systemer, der manglede aktuelle patches og opdateringer, hvilket gjorde det muligt for dem at blive kompromitteret. Som det er tilfældet med mange almindelige cyberangreb, herunder ransomware, kan patchning af netværk med de relevante sikkerhedsopdateringer gå langt for at forhindre ubudne gæster i at komme ind på netværket i første omgang – og det samme kan anvende multi-faktor autentificering.

“I begge tilfælde stolede angriberne på mangel på omhu – begge mål havde sårbare Windows-systemer, der manglede aktuelle patches og opdateringer,” sagde Sophos. Den bemærkede, at korrekt patchede maskiner, som Exchange-serveren, ville have tvunget angriberne til at arbejde hårdere for at få deres første adgang til de organisationer, de trængte ind på.

“Et krav om at bruge multi-faktor godkendelse, hvis det havde været på plads, ville have skabt yderligere udfordringer for uautoriserede brugere at logge ind på disse eller andre maskiner,” bemærkes det.

SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)

Organisationer kan også hjælpe med at forhindre angreb ved aktivt at overvåge deres netværk for mistænkelig aktivitet fra potentielle ubudne gæster, hvilket kan tyde på, at noget bør undersøges og fjernes.

“De vil blive ved med at prøve, medmindre nogen sparker dem ud af netværket. De bliver bare ved med at prøve, så du skal have et sikkerhedsteam enten internt eller eksternt, som overvåger dit miljø og holder øje med disse tegn på, at nogen er i ” sagde Mackenzie.

“Hvis du ikke støtter disse advarselsskilte, er det bare et spørgsmål om tid, før de i sidste ende vil vinde,” sagde han.

MERE OM CYBERSIKKERHED

Ransomware-ofre betaler op. Men så vender banderne tilbage for mereRansomware-angreb mere end fordoblet sidste år – disse grundlæggende cybersikkerhedsprincipper kan beskytte digRansomware: Selv når hackerne er i dit netværk, er det måske ikke for sentRansomware-angribere var rettet mod denne virksomhed. Så opdagede forsvarere noget mærkeligtDette firma blev ramt af løsepenge, men behøvede ikke at betale. Sådan gjorde de det Security TV | Datastyring | CXO | Datacentre