账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
Sophos分享如何侦测和防御 REvil勒索软体
 

【CTIMES / SMARTAUTO ABC_1 报导】    2021年06月18日 星期五

浏览人次:【2345】

REvil,也称为 Sodinokibi,是一种成熟且被广为使用的勒索软体即服务 (RaaS) 产品。犯罪分子可以向开发者租用勒索软体,新增自己的锁定目标,再将勒索软体散布到受害者的电脑。因此,REvil 勒索软体攻击的方法和影响力是高度可变的,具体取决于租用者的工具、行为、资源和技能。

Sophos 研究人员发现的REvil攻击工具和行为包括:

透过暴力破解攻击已知的网际网路服务,如 VPN、远端桌面通讯协定 (RDP)、桌面远端管理工具 (如 VNC),甚至是一些以云端为基础的管理系统;滥用透过恶意软体或网路钓鱼取得的凭证;也会只将装载附加到目标网路上已经存在的其他恶意软体

-使用 Mimikatz 取得网域系统管理员的凭证和提升权限

-透过停用或删除备份、停用安全技术,以及找出欲加密的目标电脑,为后续散布勒索软体打下基础

-上传大量外泄资料 — 尽管 Sophos 研究人员只在约半数 REvil/Sodonokibi 调查事件中看到这个行为。在有资料被窃的案件中下,大约四分之三的攻击使用 Mega.nz 作为被窃资料的 (临时) 存放区

-在资料加密之前,将电脑重新启动到安全模式以绕过端点保护工具

Sophos 首席研究员 Andrew Brandt 表示,REvil/Sodinokibi 是出现以久的常见勒索软体,造成许多破坏并索求数百万美元的赎金。它的成功或许建立在一点,即这种勒索软体即服务产品所发动的攻击每次都是不同的。防御人员很难知道什么才是需要注意的警告信号。

根据 Sophos Rapid Response的调查结果,部署REvil勒索软体的攻击者可能会采人为进行且非常持久。在该团队最近调查的一次REvil攻击中,从受感染伺服器收集的资料显示,在五分钟内就遭到大约 35,000次失败的登入尝试,来自全球349个唯一的 IP 地址。

此外值得注意的是,勒索软体的发展不仅越来越复杂,而且密度越来越高。在Sophos 研究人员看到的两次REvil攻击中,最初的进入点是另一个攻击者在早期勒索软体攻击时留下的后门。

防御人员可以采取一些措施来保护他们的企业、网路和端点。最理想的情况,就是阻止攻击者进入网路。但这一点不容易办到,因此还必须进行有效的侦测。如果能早期侦测到入侵者的存在,就可以阻止攻击进一步展开。

關鍵字: 勒索软体  Sophos 
相关新闻
Sophos宣布新任总裁暨代理执行长
「全球网路安全日」重要性今胜於昔
Sophos:许多勒索软体集团蓄意发动远端加密攻击
Sophos:勒索软体集团利用媒体美化形象
Sophos:预期将出现使用AI的攻击技术并做好侦测准备
comments powered by Disqus
相关讨论
  相关文章
» 使用Microchip Inductive Position Sensor(电感式位置传感器)实现高精度马达控制
» 以霍尔效应电流感测器简化高电压感测
» ESG趋势展??:引领企业迈向绿色未来
» 智慧家居大步走 Matter实现更好体验与可靠连结
» 车载软体数量剧增 SDV硬体平台方兴未艾


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83T2391SWSTACUKN
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw