在一篇最新文章《無情的 REvil 揭密:RaaS 與使用它的犯罪分子一樣狡猾》中,SophosLabs 和 Sophos Rapid Response 團隊的研究人員詳細介紹了攻擊者在發動 REvil 攻擊時最常使用的工具和行為。該研究的目的是為防禦人員提供可執行的深入資訊,讓他們可以找出即將發生或正在發生的 REvil 攻擊並保護組織。
Sophos 研究人員發現的 REvil 攻擊工具和行為包括:
‧ 透過暴力破解攻擊已知的網際網路服務,如 VPN、遠端桌面通訊協定 (RDP)、桌面遠端管理工具 (如 VNC),甚至是一些以雲端為基礎的管理系統;濫用透過惡意軟體或網路釣魚取得的憑證;也會只將裝載附加到目標網路上已經存在的其他惡意軟體
‧ 使用 Mimikatz 取得網域系統管理員的憑證和提升權限
‧ 透過停用或刪除備份、停用安全技術,以及找出欲加密的目標電腦,為後續散布勒索軟體打下基礎
‧ 上傳大量外洩資料 — 儘管 Sophos 研究人員只在約半數 REvil/Sodonokibi 調查事件中看到這個行為。在有資料被竊的案件中下,大約四分之三的攻擊使用 Mega.nz 作為被竊資料的 (臨時) 存放區
‧ 在資料加密之前,將電腦重新啟動到安全模式以繞過端點保護工具
這篇文章還揭露 REvil 勒索軟體的內部架構,細數其組成到執行時的行為。
Sophos 首席研究員 Andrew Brandt 表示:「REvil/Sodinokibi 是出現以久的常見勒索軟體,造成許多破壞並索求數百萬美元的贖金。它的成功或許建立在一點,即這種勒索軟體即服務產品所發動的攻擊每次都是不同的。防禦人員很難知道什麼才是需要注意的警告信號。
「根據 Sophos Rapid Response 的調查結果,部署 REvil 勒索軟體的攻擊者可能會採人為進行且非常持久。在該團隊最近調查的一次 REvil 攻擊中,從受感染伺服器收集的資料顯示,在五分鐘內就遭到大約 35,000 次失敗的登入嘗試,來自全球 349 個唯一的 IP 地址。此外值得注意的是,勒索軟體的發展不僅越來越複雜,而且密度越來越高。在 Sophos 研究人員看到的兩次 REvil 攻擊中,最初的進入點是另一個攻擊者在早期勒索軟體攻擊時留下的後門。
「幸運的是,防禦人員可以採取一些措施來保護他們的企業、網路和端點。最理想的情況,就是阻止攻擊者進入網路。但這一點不容易辦到,因此還必須進行有效的偵測。如果能早期偵測到入侵者的存在,就可以阻止攻擊進一步展開。」
如需了解 REvil/Sodinokibi 勒索軟體攻擊以及如何防禦的更多資訊,請參閱 SophosLabs Uncut 的文章。
- 新聞稿有效日期,至2021/07/17為止
聯絡人 :MalicHuang
聯絡電話:+88627311307
電子郵件:malic@wordtech.com.tw
 上一篇:新思科技數位與客製化設計平台獲台積公司3奈米製程技術認證
 下一篇:2026年用於3D打印的彈性體市場規模預計將達到5.83億美元
|
■ 我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02 ■ 我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25 ■ 我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18 ■ 我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11 ■ 我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04 ■ 我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28 ■ 我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21 ■ 我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14 ■ 我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07
|
