帳號:
密碼:
CTIMES/SmartAuto / 新聞 /
Sophos分享如何偵測和防禦 REvil勒索軟體
 

【CTIMES/SmartAuto 籃貫銘 報導】   2021年06月18日 星期五

瀏覽人次:【1175】
  

REvil,也稱為 Sodinokibi,是一種成熟且被廣為使用的勒索軟體即服務 (RaaS) 產品。犯罪分子可以向開發者租用勒索軟體,新增自己的鎖定目標,再將勒索軟體散布到受害者的電腦。因此,REvil 勒索軟體攻擊的方法和影響力是高度可變的,具體取決於租用者的工具、行為、資源和技能。

Sophos 研究人員發現的REvil攻擊工具和行為包括:

 透過暴力破解攻擊已知的網際網路服務,如 VPN、遠端桌面通訊協定 (RDP)、桌面遠端管理工具 (如 VNC),甚至是一些以雲端為基礎的管理系統;濫用透過惡意軟體或網路釣魚取得的憑證;也會只將裝載附加到目標網路上已經存在的其他惡意軟體

- 使用 Mimikatz 取得網域系統管理員的憑證和提升權限

- 透過停用或刪除備份、停用安全技術,以及找出欲加密的目標電腦,為後續散布勒索軟體打下基礎

- 上傳大量外洩資料 — 儘管 Sophos 研究人員只在約半數 REvil/Sodonokibi 調查事件中看到這個行為。在有資料被竊的案件中下,大約四分之三的攻擊使用 Mega.nz 作為被竊資料的 (臨時) 存放區

- 在資料加密之前,將電腦重新啟動到安全模式以繞過端點保護工具

Sophos 首席研究員 Andrew Brandt 表示,REvil/Sodinokibi 是出現以久的常見勒索軟體,造成許多破壞並索求數百萬美元的贖金。它的成功或許建立在一點,即這種勒索軟體即服務產品所發動的攻擊每次都是不同的。防禦人員很難知道什麼才是需要注意的警告信號。

根據 Sophos Rapid Response的調查結果,部署REvil勒索軟體的攻擊者可能會採人為進行且非常持久。在該團隊最近調查的一次REvil攻擊中,從受感染伺服器收集的資料顯示,在五分鐘內就遭到大約 35,000次失敗的登入嘗試,來自全球349個唯一的 IP 地址。

此外值得注意的是,勒索軟體的發展不僅越來越複雜,而且密度越來越高。在Sophos 研究人員看到的兩次REvil攻擊中,最初的進入點是另一個攻擊者在早期勒索軟體攻擊時留下的後門。

防禦人員可以採取一些措施來保護他們的企業、網路和端點。最理想的情況,就是阻止攻擊者進入網路。但這一點不容易辦到,因此還必須進行有效的偵測。如果能早期偵測到入侵者的存在,就可以阻止攻擊進一步展開。

關鍵字: 勒索軟體  Sophos 
相關新聞
潛伏平均超過11天 Sophos點名網路攻擊常用五大工具
Sophos 調查:亞太與日本勒索軟體復原成本一年暴增兩倍
攻擊程式碼隱藏在記憶體中 勒索軟體與遠端存取代理最常見
雙重勒索軟體攻擊連續五天 Sophos揭露過程與安全建議
遠距成為新常態 升級家用Wi-Fi安全的五大要點
comments powered by Disqus
相關討論
  相關新品
Arduino Motor Shield
原廠/品牌:RS
供應商:RS
產品類別:PC Board
mbed
原廠/品牌:RS
供應商:RS
產品類別:PC Board
Arduino
原廠/品牌:RS
供應商:RS
產品類別:PC Board
  相關產品
» igus的編織式摩擦優化自潤軸承 減少重負載應用中的磨損
» 英飛凌推出CL88xx恆壓輸出單級返馳式控制器 智慧智慧LED驅動
» 大聯大品佳集團推出基於NXP的5G open frame解決方案
» Microchip推出業界首款NVMe和24G SAS三模RAID和HBA儲存介面卡
» 意法半導體可配置車規低壓降穩壓器 提供功能性安全診斷功能
  相關文章
» 收集模型測試覆蓋程度度量資料的理由
» 如何開發以NFC標籤啟動的App Clip
» 由壓力及應變管理提升高精度傾斜/角度感測性能
» 實現朝向先進馬達控制的趨勢轉變
» 創新設計推動電動汽車增長
  相關資源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw