Ransomware janë kërcënimet më të mëdha për bizneset (por edhe për përdoruesit shtëpiak). Bazuar në një sulm të fundit, Microsoft detajoi TTP-të (taktikat, teknikat dhe procedurat) të përdorura nga kriminelët kibernetikë për të kryer një sërë operacionesh që lejojnë instalimin e ransomware. Kompania Redmond dha gjithashtu disa këshilla për zbulimin dhe bllokimin e këtyre kërcënimeve.
TTP përdoret për të shpërndarë ransomware
Microsoft nuk e identifikoi “vektorin fillestar të hyrjes”, por kredencialet e administratorit janë përdorur pothuajse me siguri. Hapi tjetër është ruajtja e këmbënguljes. Kriminelët kibernetikë përdorën Cobalt Strike për të krijuar shërbime të Windows që funksionojnë në kontrolluesin e domenit me privilegje të ngritura. Më pas u instalua OpenSSH dhe u krijua një detyrë e planifikuar për lidhjen SSH me serverin C2 (komandë dhe kontroll).
Skriptet e Impacket, PsExec dhe RDP (Remote Desktop Protocol) më pas u shfrytëzuan për të kryer “lëvizjen anësore”, domethënë për të zbuluar pajisjet e lidhura në rrjet dhe për të shpërndarë ransomware. Më pas, kriminelët kibernetikë morën kredencialet e administratorit të domenit me WDigest, ndërsa NTDSUtil u përdor për të hedhur bazën e të dhënave Active Directory.
Përpara aplikimit të kriptimit, skedarët u kopjuan në arkivat 7-Zip dhe u transferuan në serverin në distancë me PSCP (PuTTY Secure Copy). Një drejtues anti-rootkit nga Avast u përdor për të çaktivizuar zbulimin në kohë reale të Microsoft Defender Antivirus. Teknika BYOVD (Bring Your Own Vulnerable Driver) është mjaft efektive sepse drejtuesit janë legjitimë dhe nuk janë të bllokuar nga mbrojtjet e sigurisë.
Microsoft rekomandon monitorimin e krijimit të shërbimeve, transferimin e file-ve përmes SMB dhe përdorimin e SSH, PsExec dhe NTDSUtil. Përdoruesit duhet të përdorin gjithashtu antivirus me aftësi kundër ndërhyrjeve dhe të mundësojnë vërtetimin me shumë faktorë.
Discussion about this post