了解雙重勒索軟件攻擊

去年，檢測到雙重勒索勒索軟件威脅激增，最近一次是在加拿大的一家能源公司。黑客顯然已經(jīng)完成了他們的功課，針對公司量身定制了攻擊方式，并在進入公司后迅速而隱秘地行動。下面是這個現(xiàn)實世界事件的時間線，它主要是在 24 小時內(nèi)進行的。

檢測到入侵的每個階段，并通過高優(yōu)先級警報通知安全團隊。如果Antigena在環(huán)境中處于活動狀態(tài)，則受感染的服務器一旦開始出現(xiàn)異常行為就會被隔離，從而防止感染傳播。

加密和滲透

最初的感染媒介尚不清楚，但管理員帳戶很可能受到網(wǎng)絡釣魚鏈接或漏洞利用的影響。這表明了從過去十年廣泛的“噴灑和祈禱”勒索軟件活動轉(zhuǎn)向更有針對性的方法的趨勢。

Cyber?? AI 識別出一臺內(nèi)部服務器正在使用遠程桌面協(xié)議(RDP) 進行異常網(wǎng)絡掃描并嘗試橫向移動。泄露的管理員憑據(jù)被用于從服務器快速傳播到另一個內(nèi)部設備“serverps”。

設備“serverps”啟動了與 TeamViewer 的出站連接，這是一種合法的文件存儲服務，已激活了近 21 小時。此連接用于遠程控制設備并促進進一步的攻擊階段。盡管 TeamViewer 并未在公司的數(shù)字環(huán)境中廣泛使用，但它并沒有被任何傳統(tǒng)防御措施所阻擋。

該設備隨后連接到內(nèi)部文件服務器并下載了 1.95 TB 的數(shù)據(jù)，并將相同數(shù)量的數(shù)據(jù)上傳到 pcloud[.]com。這種滲漏發(fā)生在工作時間，以融入常規(guī)的管理活動。

還看到該設備下載了 Rclone 軟件——一種開源工具，它很可能被用于將數(shù)據(jù)自動同步到合法的文件存儲服務 pCloud。

受損的管理員憑證允許攻擊者在此期間橫向移動。數(shù)據(jù)泄露完成后，“serverps”設備終于開始加密 12 臺設備上的文件，擴展名為 *.06d79000。與大多數(shù)勒索軟件事件一樣，加密發(fā)生在辦公時間之外- 當?shù)貢r間過夜 - 以大限度地減少安全團隊快速響應的機會。

人工智能驅(qū)動的調(diào)查

Cyber?? AI Analyst 報告了與攻擊相關的四起事件，向安全團隊強調(diào)了可疑行為，并提供了有關受影響設備的報告，以便立即進行補救。這種簡潔的報告使安全團隊能夠快速確定感染的范圍并做出相應的反應。

雙重麻煩

使用合法工具和“遠離土地”技術（使用 RDP 和受損的管理員憑據(jù)）允許威脅參與者在不到 24 小時內(nèi)執(zhí)行大部分攻擊。通過利用 TeamViewer 作為數(shù)據(jù)泄露的合法文件存儲解決方案，而不是依賴已知的“壞”或最近注冊的域，黑客可以輕松繞過所有現(xiàn)有的基于簽名的防御。

如果沒有檢測到這種入侵并立即向安全團隊發(fā)出警報，那么這次攻擊可能不僅會導致員工被鎖定在文件之外的“業(yè)務拒絕”，而且還會導致敏感數(shù)據(jù)丟失。AI 通過自動調(diào)查和按需報告進一步節(jié)省了團隊的重要時間。

雙重勒索勒索軟件會造成更多損失。泄露提供了另一層風險，導致知識產(chǎn)權受損、聲譽受損和合規(guī)罰款。一旦威脅組織獲得了您的數(shù)據(jù)，他們可能會很容易地要求更多付款。因此，重要的是在這些攻擊發(fā)生之前對其進行防御，主動實施能夠在威脅出現(xiàn)時立即檢測并自主響應的網(wǎng)絡安全措施。

網(wǎng)站名稱：了解雙重勒索軟件攻擊
本文鏈接：http://www.muchs.cn/news14/310914.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、網(wǎng)站設計公司、網(wǎng)站收錄、軟件開發(fā)、網(wǎng)站維護、服務器托管

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)