Connect with us

Technologie

Cinq signes que vous êtes sur le point de se faire frapper avec ransomware

Published

on


Ransomware attaques peuvent souvent sembler venir de nulle part, mais il ya une série de signes avant-coureurs et des indicateurs que les cybercriminels sont dans le réseau de votre organisation et envisagent de lancer une attaque ransomware. Et avec un peu de pratique, ils peuvent être repérés à temps, selon les chercheurs de Sophos, qui a publié aujourd’hui une nouvelle série majeure de rapports sur le paysage ransomware.

L’unité de réponse à la menace gérée (MTR) de Sophos travaille en profondeur avec les victimes de ransomware, et dans le cadre de son travail, elle examine les quinze dernières semaines de détections pour rechercher des signes d’intrusion. Il a maintenant compilé une liste de cinq pointeurs qui indiquent presque certainement un attaquant enracinement autour de l’intérieur du réseau, établissant le mensonge de la terre, et comment mettre la main sur l’accès au compte dont ils ont besoin pour lancer une attaque ransomware.

Chester Wisniewski, chercheur principal chez Sophos, a déclaré à Computer Weekly que l’équipe MTR de l’entreprise avait un net avantage de visibilité par rapport à l’organisation moyenne. « Par exemple, dit-il, après avoir observé la troisième attaque de WastedLocker qu’ils avaient analysée chez un client, ils ont vu des modèles d’outils utilisés dans un certain ordre par les criminels qui organisaient l’attaque, avant qu’ils ne commencent à rançonner les données.

« ls ont ensuite pu sortir à travers tous nos clients qui sont protégés à l’aide de notre EDR [Endpoint Detection and Response] produit et regarder leurs machines et dire « oici plus de gens les cybercriminels sont en ce moment, mais ils n’ont pas déclenché le ransomware en ce moment.

« Nous avons identifié leur modèle et nous sommes allés le chercher à travers toute notre clientèle et a trouvé les gens qui avaient clairement le même acteur ransomware avec un pied initial, avant qu’ils ne soient en mesure de causer des dommages ».

Wisniewski a ajouté: « C’est vraiment difficile pour une entreprise de faire, parce qu’ils n’ont qu’eux-mêmes à regarder et à moins qu’ils ont été touchés avant, ils ne savent pas vraiment ce qu’ils cherchent. Notre équipe est assise là à regarder des milliers de clients chaque jour et nous pouvons dire que nous avons déjà vu cela, nous savons ce que c’est, arrêtons cela dès maintenant.

La clé pour lire les signes d’un incident ransomware imminente est de comprendre que les cybercriminels vont souvent utiliser des outils administratifs légitimes pour préparer le terrain pour leur attaque, a déclaré Sophos. Cela rend les repérer assez difficile, et signifie que leur activité peut facilement être négligée, mais ils ne mettre en place des drapeaux rouges si vous êtes attentif à la façon dont vos propres outils vont être utilisés contre vous.

« Le plus célèbre, les outils Microsoft sont fortement abusés par ces types, parce que personne ne cherche la bonne chose utilisée d’une manière malveillante, si vous voulez, » a dit Wisniewski. « ous prenez un outil parfaitement bon qui est destiné à vous aider à déployer des logiciels et utiliser ce même outil pour déployer votre ransomware, et qui semble être un angle mort pour beaucoup d’organisations, certainement l’un de ceux qui se démarque le plus pour moi. »

Sophos cinq conseils essentiels qui peuvent suggérer acteurs ransomware sont déjà à l’intérieur de votre système sont:

  • Tout d’abord, attention aux scanners réseau, en particulier sur les serveurs. Les cybercriminels auront généralement d’abord accès à un ordinateur pour rechercher des informations, telles que le domaine, le nom de l’entreprise, les droits d’administration de la machine est activé avec, et ainsi de suite. Ils vont ensuite essayer de comprendre ce qui est d’autre sur le réseau et ce qu’ils peuvent obtenir à, et la façon la plus facile de le faire est avec un outil de numérisation réseau, comme AngryIP ou Advanced Port Scanner. Si l’on en trouve un, les pistes de sécurité doivent s’enregistrer auprès du personnel de l’administration informatique pour savoir si elle est utilisée légitimement, et si ce n’est pas le cas, une enquête est justifiée.
  • Si un attaquant a obtenu des droits d’administrateur, il est probable qu’il essaie de désactiver vos protections antivirus à l’aide d’applications commerciales légitimes conçues pour aider à supprimer un logiciel. Il peut s’agir de Process Hacker, IOBit Installer, GMER ou PC Hunter. Les équipes de sécurité doivent être attentives à leur apparition sur le réseau.
  • Toute détection du programme de collecte d’informations d’identification open source MimiKatz n’importe où sur le réseau doit être immédiatement vérifiée. Encore une fois, MimiKatz a des utilisations légitimes par les testeurs de pénétration professionnelle, mais est également populaire auprès des cybercriminels à utiliser pour le vol d’accréditation.
  • Toute détection de tout comportement qui se produit à la même heure tous les jours, ou dans un autre modèle de répétition, peut être une indication qu’il ya quelque chose de fâcheux en cours, même si vous avez récemment trouvé et supprimé des fichiers malveillants du réseau. Cela pourrait signifier qu’il se passe quelque chose d’autre que vous n’avez pas encore vu.
  • Soyez attentif à la possibilité d’attaques de test à petite échelle sur quelques ordinateurs, qui sont exécutés pour voir si la méthode de déploiement et ransomware exécute ou est arrêté. Si vos systèmes ne arrêter un seekinattaque gly sans conséquence, les cybercriminels sauront qu’ils ont montré leur main et devront changer de tactique pour essayer à nouveau, donnant à votre équipe de sécurité des heures vitales pour arrêter quelque chose de bien pire.

La vaste série de rapports de Sophos se penche également sur le développement de formes plus évasives de ransomware, l’émergence de l’attaque post-intrusion ou double extorsion, et offre de nouvelles recherches sur WastedLocker, pensé pour être derrière la récente chute des systèmes de Garmin, entre autres.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending