Get best of the week

So reduzieren Sie die mit Ransomware Ransomware verbundenen Risiken

Heute, da Remote-Arbeiten an der Tagesordnung sind und die Belastung der Spezialisten für Informationssicherheit, insbesondere im Gesundheitswesen und in anderen kritischen Branchen, noch nie so hoch war, schwächen sich die Aktivitäten von Hack-Gruppen, die kryptografische Anwendungen verwalten, nicht ab.

Zahlreiche Hack-Gruppen, die innerhalb weniger Monate in verschiedene Netzwerke eindrangen und „Stärke“ anhäuften, aktivierten in der ersten Aprilhälfte Dutzende Kopien ihrer Ransomware-Anwendungen. Angriffe wurden von medizinischen Einrichtungen, Abrechnungsunternehmen für das Gesundheitswesen, Herstellern, Transportunternehmen, Regierungsbehörden und Entwicklern von Schulungssoftware verübt. Dies zeigte, dass solche Hackgruppen trotz der globalen Krise das Funktionieren kritischer Dienste vernachlässigen. Unternehmen aus anderen Bereichen werden jedoch ebenfalls angegriffen, sodass Unternehmen Anzeichen von Kompromissen besonders berücksichtigen müssen.

Innerhalb von zwei Wochen nach der Arbeit der Kryptographen stieg die Anzahl der Angriffe mit Erpressung leicht an. Nach einer von Microsoft-Experten durchgeführten Studie sowie den Ergebnissen einer Untersuchung eines anderen Vorfalls durch das DART-Team (Microsoft Detection and Response Team) stellte sich jedoch heraus, dass viele Kompromissfälle, die die Möglichkeit von Angriffen ermöglichten, noch früher auftraten. Mit der für Angriffe mit von Menschen kontrollierten Ransomware-Anwendungen typischen Technik haben Angreifer in den letzten Monaten Zielnetzwerke kompromittiert und auf die Gelegenheit gewartet, das Ergebnis durch die Bereitstellung von Malware zum angemessensten Zeitpunkt zu monetarisieren.

Viele dieser Angriffe begannen mit der Erforschung anfälliger Geräte, auf die über das Internet zugegriffen werden kann. In einigen Fällen wurden RDP-Server mithilfe von Brute Force kompromittiert. Während der Angriffe wurde eine breite Palette von Tools verwendet, aber alle verwendeten dieselben Techniken, die für Angriffe mit von Menschen kontrollierten Ransomware-Anwendungen charakteristisch sind: Diebstahl von Anmeldeinformationen und "Side Bias". Danach setzten die Angreifer die Tools nach Belieben ein. Da die Einführung von Ransomware-Anwendungen in der letzten Phase des Angriffs erfolgt, sollten sich Verteidiger darauf konzentrieren, Spuren von Eindringlingen zu finden, die Buchhaltungsinformationen stehlen, sowie Anzeichen einer „seitlichen Verschiebung“.

In diesem Artikel werden wir über die Ergebnisse der Analyse solcher Kampagnen mit Ransomware-Anwendungen sprechen.

Inhalt:


Wir haben eine Reihe technischer Details hinzugefügt, darunter einen Leitfaden zur Erkennung von Angriffen und Empfehlungen zur Priorität von Informationssicherheitsmaßnahmen.

Anfällige und nicht überwachte Systeme, auf die über das Internet zugegriffen werden kann und die es einfach machen, von Menschen gesteuerte Angriffe auszuführen


Obwohl bei den letzten Angriffen neue Erpressungstools eingesetzt wurden, verwendeten viele der Angriffe die Infrastruktur, die von früheren Kampagnen übrig geblieben war. Sie verwendeten auch Techniken, die für andere Angriffe mit menschlicher Ransomware bekannt sind.

Im Gegensatz zu per E-Mail übermittelten Malware-Angriffen, die in der Regel innerhalb einer Stunde nach ihrer ersten Verbreitung viel schneller stattfinden, ähneln die Angriffe im April den Angriffen von 2019 mit Doppelpaymer. Dann erhielten die Angreifer vorab Zugriff auf die Zielnetzwerke. Dann warteten sie mehrere Monate und wählten den richtigen Zeitpunkt für die Bereitstellung von Ransomware-Anwendungen.

Bei jüngsten Angriffen wurden Systeme verwendet, auf die über das Internet zugegriffen werden kann und die die folgenden Nachteile aufweisen, um in Zielnetzwerke einzudringen:

  • Remote Desktop Protocol (RDP) (MFA).
  • , (, Windows Server 2003 Windows Server 2008). .
  • -, IIS, , .
  • Citrix Application Delivery Controller (ADC) CVE-2019-19781.
  • Pulse Secure VPN CVE-2019-11510.

Um solche Angriffe zu verhindern, ist es wichtig, Sicherheitspatches auf Systeme anzuwenden, auf die über das Internet zugegriffen werden kann. Beachten Sie auch: Obwohl Microsoft-Experten dies noch nicht beobachtet haben, deuten die gesammelten Informationen darauf hin, dass Angreifer letztendlich diese Sicherheitsanfälligkeiten ausnutzen können: CVE-2019-0604 , CVE-2020-0688 , CVE-2020-10189 .

Wie in vielen Penetrationsfällen stahlen Cyberkriminelle Anmeldeinformationen, verwendeten „Lateral Bias“ mit gängigen Tools wie Mimikatz und Cobalt Strike und beschäftigten sich mit Netzwerkaufklärung und Datenextraktion. Malware-Betreiber erhielten Zugriff auf Konten mit Administratorrechten. In diesem Fall waren sie bereit, noch zerstörerischere Aktionen auszuführen. In den Netzwerken, in denen die Angreifer ihre Software installiert haben, haben sie an einigen Endpunkten absichtlich ihre Präsenz beibehalten und beabsichtigt, ihre Aktivitäten nach Erhalt des Lösegelds oder nach der Neuinstallation der Systeme erneut zu starten. Obwohl nur wenige Hack-Gruppen durch den Verkauf gesammelter Daten bekannt wurden, haben fast alle während der Angriffe Daten betrachtet und extrahiert, selbst wenn sie noch keine gestohlenen Informationen beworben oder verkauft hatten.

Wie bei allen Angriffen mit von Menschen kontrollierter Ransomware breitete sich in den beschriebenen Fällen die Aktivität von Angreifern über das Netzwerk aus, einschließlich E-Mail, Endpunkten, Anwendungen und vielem mehr. Da es für Experten sogar schwierig sein kann, Cyberkriminelle in einem kompromittierten Netzwerk vollständig loszuwerden, ist es äußerst wichtig, gefährdete Systeme, auf die über das Internet zugegriffen werden kann, zu patchen und Einschränkungen einzuführen, um Risiken zu verringern.

Bunte Erpressungsfirma


In diesem Kapitel werden die verschiedenen Arten von Angriffen und Ransomware-Familien beschrieben. Die von uns diskutierten Angriffe folgen jedoch einem gängigen Muster mit geringfügigen Abweichungen. Angriffe entwickelten sich auf ähnliche Weise und verwendeten im Allgemeinen dieselben Techniken. Und die Wahl eines bestimmten Ransomware-Programms am Ende des Angriffs hing fast ausschließlich vom Geschmack der Angreifer ab.


RobbinHood Ransomware


RobbinHood-Ransomware-Betreiber haben aufgrund der Verwendung anfälliger Treiber zum Deaktivieren von Sicherheitssoftware in späteren Phasen des Angriffs Aufmerksamkeit erregt . Wie bei vielen ähnlichen Angriffen begannen sie jedoch mit brutaler Gewalt für RDP auf einer unsicheren Ressource. Infolgedessen erhielten Angreifer Anmeldeinformationen mit hohen Berechtigungen, hauptsächlich von lokalen Administratorkonten mit gemeinsamen oder gemeinsamen Kennwörtern sowie von Dienstkonten mit Domänenadministratorrechten. RobbinHood-Betreiber sowie Ryuk-Betreiber und andere nicht verdrehte Hack-Gruppen hinterlassen neue lokale und Active Directory-Konten, um nach dem Entfernen ihrer Tools wieder auf das Netzwerk zugreifen zu können.

Vatet Bootloader


Angreifer ändern häufig ihre Infrastruktur, Methoden und Werkzeuge, um Bekanntheit zu vermeiden, was die Aufmerksamkeit von Strafverfolgungsbehörden oder Forschern auf dem Gebiet der Informationssicherheit auf sich ziehen könnte. Oft halten Hacker an ihren Tools fest und warten darauf, dass Informationssicherheitsunternehmen die entsprechenden Artefakte als inaktiv betrachten, um weniger Aufmerksamkeit zu erregen. Vatet ist ein Lader für das Cobalt Strike-Framework, das im November 2018 bei Angriffen eingesetzt wurde und bei jüngsten Ereignissen erneut aufgetaucht ist.

Wahrscheinlich wollten sich die Laderbetreiber auf Krankenhäuser, medizinische Einrichtungen, Insulinlieferanten, Hersteller medizinischer Geräte und andere kritische Organisationen spezialisieren. Dies sind einige der produktivsten Ransomware-Software-Betreiber, die sich auf Dutzende von Angriffen beziehen.

Mit Hilfe von Vatet und Cobalt Strike installierte die Hack-Gruppe verschiedene Ransomware. Sie haben kürzlich eine In-Memory-Anwendung bereitgestellt, die alternative Datenströme (ADS) verwendet und vereinfachte Versionen der Rückkaufanforderungen älterer Anwendungsfamilien anzeigt. Angreifer erhalten über die Sicherheitsanfälligkeit CVE-2019-19781 , Endpoint Bruteforce mit RDP und das Versenden von Nachrichten mit .lnk-Dateien, in denen schädliche PowerShell-Befehle ausgeführt werden , Zugriff auf Netzwerke . Sobald Hacker in das Netzwerk gehackt wurden, stehlen sie Anmeldeinformationen, auch aus dem Credential Manager-Repository, und verwenden "Lateral Bias", bis sie Domänenadministratorrechte erhalten. Beobachtungen zufolge extrahieren Betreiber vor der Bereitstellung von Ransomware-Programmen Daten aus dem Netzwerk.

NetWalker Ransomware


NetWalker-Betreiber wurden für Angriffe auf Krankenhäuser und medizinische Einrichtungen berüchtigt, bei denen sie Briefe verschickten, in denen versprochen wurde, Informationen über COVID-19 bereitzustellen. Das NetWalker-Programm war in den Briefen als .vbs-Anhang enthalten, und diese Technik erregte die Aufmerksamkeit der Medien. Die Betreiber haben jedoch auch das Netzwerk mit nicht ordnungsgemäß konfigurierten IIS-basierten Anwendungen kompromittiert, um das Mimikatz-Programm zu starten und Anmeldeinformationen zu stehlen. Mithilfe dieser Informationen starteten die Angreifer dann PsExec und installierten daraufhin NetWalker.

PonyFinal Ransomware


Dieses Java-Programm gilt als Neuheit, aber Angriffe mit ihm sind keine Seltenheit. Die Betreiber haben über das Internet zugängliche Websysteme kompromittiert und privilegierte Anmeldeinformationen erhalten. Um die Stabilität ihrer Präsenz im angegriffenen Netzwerk sicherzustellen, starten Angreifer mit den PowerShell-Befehlen das Systemtool mshta.exe und konfigurieren eine Reverse-Shell-Verbindung basierend auf dem beliebten PowerShell-Framework für Angriffe. Außerdem verwendeten Hacker legitime Tools wie Splashtop, um die Verbindung zu Remote-Desktops aufrechtzuerhalten.

Labyrinth Ransomware


Eine der ersten Ransomware-Kampagnen, die Schlagzeilen für den Verkauf gestohlener Daten machte. Maze ist weiterhin auf Technologieanbieter und öffentliche Dienstleistungen spezialisiert. Diese Ransomware wurde gegen Managed Service Provider (MSPs) eingesetzt, um Zugriff auf die Daten und Netzwerke ihrer Kunden zu erhalten.

Das Labyrinth verbreitete sich in Briefen, aber die Betreiber installierten das Programm auch, nachdem sie mithilfe gängiger Angriffsmethoden wie RDP Brute Force Zugriff auf Netzwerke erhalten hatten. Nachdem die Angreifer in das Netzwerk eingedrungen sind, stehlen sie Anmeldeinformationen, führen einen „seitlichen Offset“ durch, um Zugriff auf Ressourcen zu erhalten und Daten zu extrahieren, und installieren dann die Ransomware.

Während einer kürzlich durchgeführten Hacker-Kampagne verfolgten Microsoft-Forscher, wie Maze-Betreiber über die RDP-Bruteforce eines lokalen Administratorkontos auf einem über das Internet zugänglichen System Zugriff erhielten. Nach dem Brute Force für das Kennwort konnten die Bediener eine „Seitenverschiebung“ durchführen, da die integrierten Administratorkonten an anderen Endpunkten dasselbe Kennwort verwendeten.

Nachdem die Hacker die Anmeldeinformationen aus dem Konto des Domänenadministrators gestohlen hatten, verwendeten sie Cobalt Strike, PsExec und eine Reihe anderer Tools, um alle Arten von Nutzdaten bereitzustellen und Zugriff auf die Daten zu erhalten. Angreifer organisierten eine dateifreie Präsenz im Netzwerk mithilfe des Taskplaners und der Dienste, auf denen Remote-PowerShell-basierte Shells ausgeführt werden. Außerdem haben Hacker die Windows-Remoteverwaltung aktiviert, um die Kontrolle über ein gestohlenes Domänenadministratorkonto zu behalten. Um die Kontrolle über die Informationssicherheit in Vorbereitung auf die Installation der Ransomware zu schwächen, haben die Angreifer verschiedene Einstellungen über Gruppenrichtlinien manipuliert.

Ransomware REvil


Dies ist wahrscheinlich die erste Gruppe von Ransomware-Betreibern, die Netzwerkschwachstellen in Pulse VPN ausnutzt, um Anmeldeinformationen zu stehlen und Zugriff auf das Netzwerk zu erhalten. REvil (oder Sodinokibi) wurde dafür bekannt, in den MSP einzudringen, Zugang zu den Netzwerken und Dokumenten seiner Kunden zu erhalten und Zugang zu ihnen zu verkaufen. Die Angreifer taten dies während der aktuellen Krise weiter und griffen MSP und andere Ziele, einschließlich Regierungsbehörden, an. REvil-Angriffe zeichnen sich durch die Verwendung neuer Sicherheitslücken aus, ihre Methoden ähneln jedoch denen vieler anderer Hack-Gruppen: Nach dem Eindringen in das Netzwerk werden Tools wie Mimikatz und PsExec verwendet, um Anmeldeinformationen, "laterale Voreingenommenheit" und Aufklärung zu stehlen.

Andere Ransomware-Familien


Im Berichtszeitraum wurde auch die Verwendung solcher Anwendungsfamilien festgestellt, die von Personen verwaltet werden:

  • Paradies Früher wurde es direkt über Briefe verteilt, heute wird es jedoch bei Angriffen von Menschen eingesetzt.
  • RagnarLocker. Wird von einer Gruppe verwendet, die RDP und Cobalt Strike mit gestohlenen Anmeldeinformationen aktiv verwendet hat.
  • MedusaLocker. Wahrscheinlich durch bereits vorhandene Trickbot-Infektionen installiert.
  • Lockbit Wird von Betreibern vertrieben, die das öffentlich verfügbare CrackMapExec-Penetrationstest-Tool verwendet haben, um eine „seitliche Verschiebung“ durchzuführen.

Sofortige Reaktion auf laufende Angriffe


Wir empfehlen Unternehmen dringend, sofort nach Warnungen im Zusammenhang mit den beschriebenen Angriffen zu suchen und die Untersuchung und Systemwiederherstellung zu priorisieren. Worauf sollten Verteidiger achten:

  • PowerShell, Cobalt Strike , « ».
  • , , Local Security Authority Subsystem Service (LSASS) , .
  • , USN — .

Unternehmen, die Microsoft Defender Advanced Threat Protection (ATP) verwenden, finden im Bedrohungsanalysebericht Einzelheiten zu relevanten Warnungen und erweiterten Erkennungstechniken. Benutzer des Microsoft Threat Experts- Dienstes können auch gezielte Angriffsbenachrichtigungen verwenden, die einen detaillierten Verlauf, empfohlene Schutzmaßnahmen und Tipps zur Wiederherstellung enthalten.

Wenn Ihr Netzwerk angegriffen wurde, führen Sie sofort die folgenden Schritte aus, um das Ausmaß der Situation zu beurteilen. Wenn Sie die Auswirkungen dieser Angriffe bestimmen, sollten Sie sich nicht nur auf Kompromissindikatoren (IOC) verlassen, da die meisten der genannten Ransomware-Programme eine „einmalige“ Infrastruktur verwenden. Ihre Autoren ändern häufig ihre Tools und Systeme und bestimmen die Fähigkeiten ihrer Erkennungsziele . Um die Exposition zu erkennen und zu minimieren, sollten nach Möglichkeit Techniken verwendet werden, die auf umfassenden Verhaltensmustern basieren. Sie müssen auch Schwachstellen, die von Cyberkriminellen verwendet werden, so schnell wie möglich schließen.

Analysieren Sie angegriffene Endpunkte und Anmeldeinformationen


Identifizieren Sie alle Anmeldeinformationen, die auf dem angegriffenen Endpunkt verfügbar sind. Sie sollten für Angreifer als zugänglich angesehen werden, und alle mit ihnen verbundenen Konten sollten kompromittiert werden. Beachten Sie, dass Angreifer nicht nur die Anmeldeinformationen von Konten kopieren können, die in interaktiven oder RDP-Sitzungen angemeldet sind, sondern auch zwischengespeicherte Anmeldeinformationen und Kennwörter für die Bereitstellung von Konten und geplanten Aufgaben kopieren können, die im Registrierungsabschnitt von LSA Secrets gespeichert sind.

  • Verwenden Sie für in Microsoft Defender ATP integrierte Endpunkte erweiterte Methoden zum Identifizieren von Konten, die sich bei angegriffenen Punkten angemeldet haben. Zu diesem Zweck enthält der Bedrohungsanalysebericht eine Jagdabfrage.
  • Windows, , — 4624 2 10. 4 5.


Isolieren Sie wichtige Punkte, die Anzeichen von Kontrolle und Kontrolle enthalten oder die zum Ziel für "seitliche Verschiebung" geworden sind. Identifizieren Sie diese Endpunkte mithilfe erweiterter Suchanfragen oder anderer direkter Suchmethoden für relevante IOCs. Isolieren Sie Computer mithilfe von Microsoft Defender ATP oder verwenden Sie andere Datenquellen wie NetFlow, um in SIEM oder einem anderen zentralisierten Ereignisverwaltungstool zu suchen. Suchen Sie nach Anzeichen einer „seitlichen Verschiebung“ von bekannten gefährdeten Endpunkten.

Schließen Sie Schwachstellen, auf die über das Internet zugegriffen werden kann


Identifizieren Sie Perimetersysteme, mit denen Angreifer auf Ihr Netzwerk zugreifen können. Sie können Ihre Analyse über die öffentliche Scan-Oberfläche ergänzen, z. B. shodan.io . Hacker könnten an solchen Systemen interessiert sein:

  • RDP oder virtuelle Desktops ohne Multi-Faktor-Authentifizierung.
  • Sicherheitsanfälligkeit in Citrix ADC-Systemen mit CVE-2019-19781.
  • Pulse Secure VPN-Systeme mit der Sicherheitsanfälligkeit CVE-2019-11510.
  • Microsoft SharePoint Server mit Sicherheitsanfälligkeit CVE-2019-0604.
  • Microsoft Exchange-Server mit Sicherheitsanfälligkeit CVE-2020-0688.
  • Zoho ManageEngine-Systeme mit Sicherheitslücke CVE-2020-10189.

Um die Sicherheitsanfälligkeit eines Unternehmens weiter zu verringern, können Microsoft Defender ATP-Kunden die TVM- Funktionen (Threat and Vulnerability Management) nutzen , um Sicherheitsanfälligkeiten in der falschen Konfiguration zu identifizieren, zu priorisieren und zu schließen. Mit TVM können IT-Sicherheitsexperten und Administratoren gemeinsam erkannte Schwachstellen beseitigen.

Untersuchen und reparieren Sie mit Malware infizierte Geräte


Viele Hacker infiltrieren Netzwerke durch bereits implementierte Programme wie Emotet und Trickbot. Diese Werkzeugfamilien werden als Bankentrojaner klassifiziert, die jede Nutzlast liefern können, einschließlich permanenter Software-Lesezeichen. Untersuchen und beseitigen Sie alle bekannten Infektionen und betrachten Sie sie als mögliche Angriffsmethoden gefährlicher menschlicher Gegner. Überprüfen Sie alle offenen Anmeldeinformationen, zusätzlichen Arten von Nutzdaten und Anzeichen einer „seitlichen Verschiebung“, bevor Sie die angegriffenen Endpunkte wiederherstellen oder Kennwörter ändern.

Informationshygiene zum Schutz von Netzwerken vor menschlicher Ransomware


Da Hacker-Betreiber mehr Opfer finden, sollten Verteidiger die Risiken mit allen verfügbaren Tools im Voraus bewerten. Wenden Sie weiterhin alle bewährten vorbeugenden Lösungen an - Hygiene von Anmeldeinformationen, Mindestberechtigungen und Host-Firewalls -, die Angriffe verhindern, die Sicherheitslücken und redundante Berechtigungen ausnutzen.

Erhöhen Sie den Widerstand Ihres Netzwerks gegen das Eindringen, die Reaktivierung von Software-Lesezeichen und die „seitliche Verschiebung“ mit den folgenden Maßnahmen:


Weitere Tipps zur Verbesserung des Schutzes vor von Menschen kontrollierten Ransomware- Programmen und zur Schaffung eines zuverlässigeren Schutzes vor Cyber-Angriffen im Allgemeinen finden Sie unter Von Menschen betriebene Ransomware-Angriffe: Eine vermeidbare Katastrophe .

Microsoft Threat Protection: Koordinierter Schutz vor komplexen und umfangreichen Ransomware-gesteuerten Anwendungen, die von Menschen gesteuert werden


Der Anstieg der Anzahl der Angriffe mit Ransomware im April hat gezeigt, dass Hacker sich keine Sorgen über die Folgen machen, die sich aus den Unterbrechungen ihrer Dienste während der globalen Krise ergeben.

Angriffe mit von Menschen kontrollierten Ransomware-Programmen stellen eine neue Bedrohungsstufe dar, da Angreifer mit der Systemadministration und Konfiguration von Schutzwerkzeugen vertraut sind, um einen Weg zu finden, mit dem geringsten Widerstand einzudringen. Angesichts eines Hindernisses versuchen sie, es zu überwinden. Und wenn es nicht klappt, zeigen sie Einfallsreichtum bei der Suche nach neuen Wegen der Angriffsentwicklung. Daher sind Angriffe mit von Menschen kontrollierter Ransomware komplex und weit verbreitet. Zwei identische Angriffe finden nicht statt.

Microsoft Threat Protections (MTP)Bietet eine koordinierte Verteidigung, mit deren Hilfe die gesamte Kette komplexer Angriffe mithilfe von menschlicher Ransomware blockiert werden kann. MTP kombiniert die Funktionen verschiedener Microsoft 365-Sicherheitsdienste, um den Schutz, die Verhinderung, die Erkennung und die Reaktion von Endpunkten, E-Mails, Konten und Anwendungen zu verwalten.

Mithilfe integrierter Tools für Intelligenz, Automatisierung und Integration kann MTP Angriffe blockieren, Eindringlinge ausschließen und angegriffene Ressourcen automatisch wiederherstellen. Dieses Tool vergleicht und konsolidiert Warnungen und Warnungen, um Befürwortern dabei zu helfen, Vorfälle in Bezug auf Untersuchung und Reaktion zu priorisieren. MTP verfügt außerdem über einzigartige domänenübergreifende Suchfunktionen, mit denen Sie das Wachstum des Angriffs erkennen und verstehen können, wie Sie die Verteidigung in jedem Fall stärken können.

Microsoft Threat Protection ist Teil des Chip-to-Cloud-Ansatzes, die den Schutz von Hardware, Betriebssystem und Cloud-Schutz kombiniert. Hardwareunterstützte Sicherheitsfunktionen in Windows 10, wie z. B. ASLR (Address Space Layout Randomization), CFG (Control Flow Protection) und andere, erhöhen die Widerstandsfähigkeit der Plattform gegen viele schwerwiegende Bedrohungen, einschließlich solcher die Schwachstellen des Kerneltreibers ausnutzen. Diese Sicherheitsfunktionen sind nahtlos in Microsoft Defender ATP integriert, das einen End-to-End-Schutz bietet, der mit einer starken Vertrauensbasis der Hardware beginnt. Auf Computern mit einem sicheren Kernel ( Secured-Core-PC ) sind diese Einschränkungen standardmäßig aktiviert.

Wir arbeiten weiterhin mit unseren Kunden, Partnern und der Forschungsgemeinschaft zusammen, um personenbezogene Ransomware und andere hochentwickelte Tools zu verfolgen. In schwierigen Fällen können Kunden den Microsoft Detection and Response (DART) -Befehl verwenden , um Nachforschungen anzustellen und wiederherzustellen.

Anhang: MitRE ATT & CK entdeckte Techniken


Angriffe mit von Menschen verwalteten Ransomware-Programmen verwenden eine Vielzahl von Techniken, die Angreifern zur Verfügung stehen, nachdem sie die Kontrolle über privilegierte Domänenkonten erlangt haben. Nachfolgend sind die Techniken aufgeführt, die im April 2020 bei Angriffen gegen das Gesundheitswesen und kritische Organisationen weit verbreitet waren.

Zugriff auf Anmeldeinformationen:


Langfristige Präsenz:


Management und Kontrolle:


Studie:


Ausführung:

  • T1035 Service Execution | Ein Dienst, der zum Ausführen von CMD- (wie ComSpec) und PowerShell-Befehlen registriert ist.

"Lateralverschiebung":


Vermeidung von Schutzausrüstung:


Einschlag:

More articles:


All Articles