国家赞助的攻击者修改了已知漏洞,以获得更大的奖励
一个旨在模仿工业控制系统(IC)的蜜罐,已将关键基础设施提供商提醒多个多阶段勒索软件趋势的危险。
霍尼罐是由安全公司Cybereason于今年早些时候启动的,以“分析国家赞助团体和网络犯罪参与者使用的战术,技术和程序,以针对关键基础设施提供者”。今天发表的研究(6月11日)概述了调查结果。
网络现在警告关键基础设施提供者要警惕许多独立的网络犯罪演员和民族国家团体部署的多级勒索软件攻击。
蜜罐旨在模仿在北美和欧洲运营的一家电力公司。
攻击者被捕试图窃取数据和用户凭据,并在受害者的网络上横向移动以损害多个终点。
这是由于多层次活动而成为可能的,袭击者在部署勒索软件直到袭击的最后阶段都无法部署勒索软件。
四阶段的网络攻击
研究人员发现网络攻击包括四个阶段。
第一阶段看到了攻击者蛮力在公共访问远程接口上的管理员密码。然后,袭击者使用 net.exe 命令。
后门执行后,攻击者可以使用PowerShell脚本将其他实用程序上传到被折衷的服务器上。其中一种工具Mimikatz用于窃取用户凭据并跨网络横向移动。
Cybereason指出,攻击者试图访问域控件,尽管Honeypot服务器上的帐户都无法访问它们。
这恶意软件然后使用网络扫描仪发现其他端点,一旦妥协,最后阶段就会看到勒索软件部署了。
该技术与勒索软件攻击中使用的方法不同在2018年见当Cybereason进行类似的Honeypot任务时,针对ICS网络。
Cybereason首席信息安全官以色列Barak告诉每日swbeplay2018官网ig:“这些攻击包括典型的文件加密功能,在某些情况下,利用已知的操作系统漏洞来提供文件加密的自我传播功能。
“在将2018年蜜罐与2020年蜜罐中的最新观察结果进行比较时,我们已经认识到几个勒索软件攻击为其典型文件加密功能增加了黑客操作功能。”
更大的财务回报
巴拉克说,攻击者似乎正在通过专注于使用现有勒索软件应变来获得更大的财务回报,从而改变了他们的策略。
他说:“我们在ICS领域中看到的趋势之一,总的来说,2020年的新勒索软件菌株较少,但现有的菌株却涨幅更多。
“黑客通过更好地定位并从每个目标中赚更多的钱来做到这一点。我们可以期望在可预见的将来,嵌入到黑客行动中的多阶段勒索软件会增加。”
Cybereason为关键行业公司提供了一些最佳实践,包括确保通过设计,在所有网络上进行定期测试,并在IT和OT(操作技术)环境中建立安全操作中心。
巴拉克(Barak)还对操作员需要确保保护自己及其客户免受攻击所需的方式发表了想法。
他说:“首先,运营商希望最大程度地减少平均响应时间,因此在IT和OT网络上建立网络事件响应工具和程序至关重要。
“最大程度地减少损害并防止ICS网络脱机,从本质上讲,攻击者和防守者正在扮演猫和鼠标游戏。”
巴拉克补充说:“组织可以通过最大程度地减少应对威胁所需的时间来降低风险。
“此外,组织应在IT和OT环境中建立一个统一的安全操作中心和工作流程,这意味着黑客可能会尝试将IT环境用作通往OT环境的门户,以便可以造成真正的损害。”
