安全是有分量的

DDOS高防服务_ddos云防护服务器_超稳定

2022-05-13 01:00栏目:动态

DDOS高防服务_ddos云防护服务器_超稳定

最近来自Ryuk勒索软件运营商的攻击表明,在获得对受害者网络的初始访问时,参与者有了新的偏好。

今年在攻击中观察到的趋势表明,攻击者倾向于将远程桌面连接暴露在公共互联网上的主机作为攻击目标。

此外,使用有针对性的网络钓鱼电子邮件发送恶意软件仍然是威胁行为人最喜欢的初始感染媒介。

初始感染的新趋势

来自威胁情报精品高级情报公司(AdvIntel)的安全研究人员观察到,今年Ryuk勒索软件攻击更多地依赖于破坏暴露的RDP连接来获得目标网络的初始立足点。

参与者一直在对暴露的RDP主机进行"大规模暴力和密码攻击",以破坏用户凭据。

最初妥协的另一个载体是矛式网络钓鱼和利用BazaCall活动通过恶意呼叫中心传播恶意软件,防御CC香港服务器,这些呼叫中心以公司用户为目标,并将他们引导至武器化的Excel文档。

AdvIntel的研究人员说,网站如何防御cc,Ryuk攻击者分两个阶段对受害者进行侦察。一次,防火墙防御cc,确定受损域上的宝贵资源(网络共享、用户、Active Directory组织单位)。

第二次,目标是找到有关公司收入的信息,以确定受害者能够支付的赎金金额,以恢复系统。

为了列举active directory信息,Ryuk勒索软件运营商依赖于经过测试的AdFind(AD查询工具)和利用后工具Brandhound,该工具探索active directory(AD)域中的关系以找到攻击路径。

获取受害者的财务细节依赖于开源数据。AdvIntel表示,参与者在ZoomInfo等服务上搜索有关公司最近合并和收购的信息以及其他可以增加攻击收益的细节。

使用Cobalt Strike post Exploration工具进行额外侦察,该工具已成为大多数勒索软件操作和扫描的标准,可显示防病毒和端点检测响应(EDR)等安全产品来保护网络。

新技术

研究人员说,传奇如何防御cc攻击,演员与其他网络犯罪分子接触,了解他们攻击的网络上的防御,以找到使他们失效的方法。

研究人员在Ryuk勒索软件攻击中看到的最新技术包括使用KeeSteep,linux集群ddos防御,这是一种开源工具,用于从KeePass密码管理器中提取凭据。

Keephift的工作原理是从运行中的KeePass进程的内存中提取密钥材料(例如主密码、密钥文件),并将数据库解锁。

AdvIntel首席执行官Vitali Kremez告诉BleepingComputer,攻击者利用KeeStepher盗取本地IT管理员访问EDR软件的凭据,绕过EDR和其他防御措施。

Kremez说,另一个策略是部署便携式版本的Notepad++在具有PowerShell执行限制的系统上运行PowerShell脚本。

据AdvIntel称,Ryuk勒索软件攻击今年利用了两个漏洞来增加他们在受损机器上的权限。这两个缺陷都比较旧,并且可以使用修补程序:

AdvIntel的另一个观察结果是,最近的Ryuk勒索软件攻击使用开源CrackMapExec渗透工具提取管理员凭据并在受害者网络上横向移动。

研究人员建议组织采取以下风险缓解措施:

Ryuk从事勒索软件业务已有很长时间,被称为强硬的谈判者。据估计,他们至少收取了1.5亿美元的赎金,其中一名受害者最终支付了3400万美元用于恢复其系统。

考虑到这些数字,演员转而采用新的战术、技术和程序以保持领先地位并保持利润丰厚的勒索软件业务的运行是有道理的。