安全專家避免的大規模勒索軟件攻擊
一家未具名的公司即將成為最新的負面新聞並遭受重大勒索軟件攻擊,但安全研究人員在關鍵時刻設法避免了這場危機。
ZDNet 報導了該事件,該事件涉及一家大型企業,在發現公司計算機上安裝了大量 Cobalt Strike 實例後,將 Sophos 的安全專家引入了船上。乍一看,這似乎沒什麼可疑的,因為 Cobalt Strike 最初是一個合法的滲透測試工具。然而,在過去的一年中,Cobalt Strike 在網絡犯罪圈中的使用量也激增。
在該公司最初讓 Sophos 參與調查 CobaltStrike 在網絡上的出現後,安全研究人員發現整個網絡都在整頓並準備好應對全面的勒索軟件攻擊。
犯罪分子計劃使用 REvil 勒索軟件並儘可能造成破壞,對數據進行集體加密。對於 Sophos 的客戶來說幸運的是,安全研究人員設法發現了為勒索軟件有效負載準備網絡的持續努力,並設法避免了攻擊的全面衝擊。
只有少數未受保護的系統和設備被加密,但這並沒有對公司產生任何重大影響。企圖攻擊背後的犯罪分子在他們加密的少數設備上留下了贖金票據,贖金要求高達 250 萬美元。當然,鑑於這次大規模的攻擊被挫敗了,這些錢都沒有。
然而,ZDNet 和 Sophos 調查所指出的是,攻擊背後的不法分子設法在一百多台公司機器上偷偷安裝了合法的 ScreenConnect 遠程訪問軟件,而沒有任何人注意到並敲響警報。
ZDnet 援引 Sophos 快速響應團隊經理 Peter Mackenzie 的話說,威脅參與者在網絡上獲得初步立足點的最常見方式通常涉及網絡釣魚用戶或利用 VPN 漏洞或未啟用多因素身份驗證的系統在他們的 VPN 上。
在這次幸運轉折中幾乎襲擊了這家未具名公司的勒索軟件 REvil 也被成功用於對抗美國最大的新鮮牛肉和豬肉生產商 JBS,而在 JBS 的例子中,該公司就沒那麼幸運了。這次攻擊背後的勒索軟件團伙設法從 JBS 中榨取了 1100 萬美元。
Mackenzie 還提供了一些安全方面的建議,包括整個安全行業一直在嘗試向公司和企業傳授的內容。最重要的建議包括在所有網絡設備上通過集中式集線器安裝和管理最新的安全軟件,並使用最新補丁更新每個系統正在運行的所有軟件。