Многу извештаи објаснуваат како сајбер напаѓачите кои ги користат Ransomware нападите ги приспособуваат и менуваат техниките на нападите. Интересен е фактот дека во развивањето на Ransomware нападите се користат дури и напредните техники слични на оние кои ги користат државните агенции за безбедност. Веќе спомнувавме дека овие видови напади се сѐ потивки и тешко препознатливи, и дека мошне брзо се приспособуваат на моменталните околности, како што е моменталната пандемија на корона вирусот.
Во вторникот истражувачите на Sophos објавија низа извештаи кои детално ја опишуваат еволуцијата на Ransomware и како напаѓачите пронаоѓаат нови начини за изнудување на повеќе пари но и други лични податоци од жртвите. Иако распонот на Ransomware сѐ уште се протега од малите напади до оние од високо ниво, нивната анализа воглавно се сосредоточува врз напредните закани како што се WastedLocker и Maze Ransomware.
Директорот на инженеринг Марк Ломан и главниот истражувач на заканите Ананд Ајјан во извештајот објаснуваат како се користи Windows Cache Manager преку мемориско копирање, за да се одбегне надгледување со помош на алатките засновани врз однесувањето на корисниците/чките. Тоа му овозможува на Ransomware транспарентно да ги шифрира предмеморираните документи во меморијата, без предизвикување на дополнителни disk input/output податоци. Алатките кои се користат за надзор на пишувањето на дискот на тој начин нема да забележат дека злонамерниот софтвер пристапува кон меморираниот документ.
„Интелигенцијата, креативноста и интимното познавање на тие, мошне ситни технички детали за изработка на заобиколница е речиси невидлива во злонамерниот софтвер. Тоа е работа која очекуваме да ја видиме во нападите во шпионажата, а не во криминалните напади.“ – вели Чет Висниевски, главниот научник за истражувања во Sophos.
Напаѓачите се користат со сите достапни средства за да постигнат колку што е можно понезабележлив напад. Тие можат да го злоупотребат PowerShell, другите алатки на Microsoft, како што се Metasploit или Cobalt Strike.
Меѓутоа ваквите видови однесувања не се нови, но она што како новост го наведува Висниевски е дека ова е можеби единствениот показател дека ќе разберете дека некој влегол на вашата мрежа. Меѓутоа откривајќи дека некој влегол на вашата мрежа, санирајќи го тој проблем, ретко кој може со сигурност да каже дека тоа е почеток и крај на нападот. Најчесто не е, туку целиот напад е дел од поголем инцидент. Колку подолго напаѓачот бил во вашата мрежа, толку имал поголема можност да отиде понатаму. Доколку зборуваме за компјутерите или мобилните уреди на новинарите/ките, ваквите напади можат да имаат големи последици, бидејќи со едно влегување можат да дојдат до компјутерите на сите во редакцијата.
„Иако мотивацијата е различна за секоја напредна група на Ransomware, техниките се слични. WastedLocker е повеќе фокусиран врз техничката експлоатација; заканите како што е Maze се потпираат врз двојно изнудување. Ги обвинуваат жртвите да им ги вратат податоците и да ги попречат во објавувањето. Тие се сосредоточени врз посоцијалниот аспект за да можат да манипулираaт со свoите жртви“, додава Висниевски.
Како да знаете дали сте биле загрозени
Иако е можеби тешко да се знае кога напредниот напаѓач е во вашата мрежа, сепак тоа е можно. Питер Мекензи, менаџерот за ескалација на злонамерниот софтвер во Sophos, споделува неколку клучни показатели кои би можеле да ги наведат компаниите, организациите, па и медиумските редакции, дека тие се цел на сомнителни активности.
Еден е мрежниот скенер, особено на серверот. Напаѓачите обично ја започнуваат реконструкцијата со пристапување на еден уред и барање на информации како што е домен и назив на компанија, администраторски права итн. Потоа ја скенираат мрежата за да видат кон што уште можат да пристапат. Ако вашата ИТ поддршка го открие мрежниот скенер како што е AngryIP или Advanced Port Scanner, распрашајте се во колективот. Ако никој од новинарите/ките не го користи, тоа може да биде натрапникот.
Колективите исто така би требало да внимаваат на алатките дизајнирани за онеспособување на антивирусниот софтвер кој напаѓачите можат да го користат за заобиколување на откривањето. Мекензи укажува на Process Hacker, IOBit Uninstaller, GMER и PC Hunter како примери на легитимни алатки кои можат да укажат на опасни активности ако ненадејно се појават, и нивното откривање задолжително треба да се истражи.
„Ако никој во административниот тим не може да го потврди користењето на MimiKatz, тоа е црвеното знаме, бидејќи тоа е една од најкористените алатки за хакирање поради кражба на идентитет. Напаѓачите можат да го употребуваат и Microsoft Process Explorer, легитимната алатка која може да го исфрли LSASS [.] Exe од меморијата.“- наведува Мекензи.
Важно е да се нагласи дека дури и ако ги откриете и отстраните заразените датотеки, би бил добро вашиот ИТ тим во наредниот период секојдневно да го надгледува системот и мрежата и во случај на каква било промена тие да реагираат. Напаѓачите знаат да бидат упорни и мошне брзо да се приспособуваат. Напаѓачите исто така можат да го тестираат системот со испраќање на тестни злонамерни вируси на повеќе компјутери, за да го проверат реагирањето на дигиталната поддршка, и во врска со тоа дополнително да го приспособат и засилат својот напад.
