账号:
密码:
CTIMES/SmartAuto / 新闻 /
Sophos分享如何侦测和防御 REvil勒索软体
 

【CTIMES/SmartAuto 籃貫銘 报导】   2021年06月18日 星期五

浏览人次:【1173】
  

REvil,也称为 Sodinokibi,是一种成熟且被广为使用的勒索软体即服务 (RaaS) 产品。犯罪分子可以向开发者租用勒索软体,新增自己的锁定目标,再将勒索软体散布到受害者的电脑。因此,REvil 勒索软体攻击的方法和影响力是高度可变的,具体取决於租用者的工具、行为、资源和技能。

Sophos 研究人员发现的REvil攻击工具和行为包括:

凱 透过暴力破解攻击已知的网际网路服务,如 VPN、远端桌面通讯协定 (RDP)、桌面远端管理工具 (如 VNC),甚至是一些以云端为基础的管理系统;滥用透过恶意软体或网路钓鱼取得的凭证;也会只将装载附加到目标网路上已经存在的其他恶意软体

- 使用 Mimikatz 取得网域系统管理员的凭证和提升权限

- 透过停用或删除备份、停用安全技术,以及找出欲加密的目标电脑,为後续散布勒索软体打下基础

- 上传大量外泄资料  尽管 Sophos 研究人员只在约半数 REvil/Sodonokibi 调查事件中看到这个行为。在有资料被窃的案件中下,大约四分之三的攻击使用 Mega.nz 作为被窃资料的 (临时) 存放区

- 在资料加密之前,将电脑重新启动到安全模式以绕过端点保护工具

Sophos 首席研究员 Andrew Brandt 表示,REvil/Sodinokibi 是出现以久的常见勒索软体,造成许多破坏并索求数百万美元的赎金。它的成功或许建立在一点,即这种勒索软体即服务产品所发动的攻击每次都是不同的。防御人员很难知道什麽才是需要注意的警告信号。

根据 Sophos Rapid Response的调查结果,部署REvil勒索软体的攻击者可能会采人为进行且非常持久。在该团队最近调查的一次REvil攻击中,从受感染伺服器收集的资料显示,在五分钟内就遭到大约 35,000次失败的登入尝试,来自全球349个唯一的 IP 地址。

此外值得注意的是,勒索软体的发展不仅越来越复杂,而且密度越来越高。在Sophos 研究人员看到的两次REvil攻击中,最初的进入点是另一个攻击者在早期勒索软体攻击时留下的後门。

防御人员可以采取一些措施来保护他们的企业、网路和端点。最理想的情况,就是阻止攻击者进入网路。但这一点不容易办到,因此还必须进行有效的侦测。如果能早期侦测到入侵者的存在,就可以阻止攻击进一步展开。

關鍵字: 勒索软体  Sophos 
相关新闻
网路攻击平均潜伏时间超过11天 Sophos点名攻击常用五大工具
Sophos 调查:亚太与日本勒索软体复原成本一年暴增两倍
攻击程式码隐藏在记忆体中 勒索软体与远端存取代理最常见
Conti勒索软体连续五天 Sophos揭露攻击过程
远距新常态 Sophos提示升级家用Wi-Fi安全五大要点
comments powered by Disqus
相关讨论
  相关新品
Arduino Motor Shield
原厂/品牌:RS
供应商:RS
產品類別:
mbed
原厂/品牌:RS
供应商:RS
產品類別:
Arduino
原厂/品牌:RS
供应商:RS
產品類別:
  相关产品
» igus的编织式摩擦优化自润轴承 减少重负载应用中的磨损
» 英飞凌推出CL88xx恒压输出单级返驰式控制器 智慧智慧LED驱动
» 大联大品隹集团推出基於NXP的5G open frame解决方案
» Microchip推出业界首款NVMe和24G SAS三模RAID和HBA储存介面卡
» 意法半导体可配置车规低压降稳压器 提供功能性安全诊断功能
  相关文章
» 收集模型测试覆盖程度度量资料的理由
» 如何开发以NFC标签启动的App Clip
» 由压力及应变管理提升高精度倾斜/角度感测性能
» 实现朝向先进马达控制的趋势转变
» 创新设计推动电动汽车增长
  相关资源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw