ГлавнаябезопасностьMicrosoft: 6 различных хакерских групп вторгаются в деловую сеть

Microsoft: 6 различных хакерских групп вторгаются в деловую сеть

В первом отчете корпорации Майкрософт по обнаружению и реагированию (DART), который помогает клиентам с серьезными кибер-проблемами, подробно описан случай большого клиента с шестью различными хакерскими группами одновременно в его сети, в том числе финансируемая государством хакерская группа, которая украла данные и электронную почту в течение 243 дней.

Компания объявила о DART в марте 2019 года в рамках своего бизнеса по снижению затрат на 1 млрд долларов, объявленного генеральным директором. Наделла 2017.

Не раскрывая имен клиентов, Microsoft намерена публиковать регулярные обновления о действиях DART, чтобы показать, как работают хакеры.

Первый отчет детализирует один APT злоумышленник кто украл учетные данные администратора, чтобы проникнуть в сеть цели и украсть конфиденциальные данные и электронные письма.

В частности, клиент не использовал многофакторную аутентификацию (MFA), которая могла бы предотвратить нарушение. На прошлой неделе Microsoft сообщила, что 99,9% взломанных учетных записей не используют MFA, и только 11% предприятий используют MFA.

DART был введен после того, как клиент не смог вытащить APT атакующего из сеть через 243 дня, несмотря на наем поставщика услуг по реагированию на инциденты семью месяцами ранее. Хакер был удален из системы в день прибытия команды Microsoft. Он также обнаружил, что пять других групп угроз были в сети.

В этом случае основной атакующий использовал один атака с использованием пароля чтобы «получить» учетные данные администратора клиентского Office 365 и оттуда искать почтовые ящики, чтобы найти больше Полномочия поделился с сотрудниками по электронной почте. DART обнаружил, что злоумышленник ищет лицензии на интеллектуальную собственность на некоторых рынках.

Злоумышленник даже использовал клиентские инструменты электронного обнаружения для автоматизации поиска соответствующих электронных писем.

По данным Microsoft, компания в первый месяц атаки пыталась справиться со своей учетной записью Управление 365, а затем привел компанию реагирования на инцидент, чтобы привести к тому, что оказалось длительное расследование.

Обновления Microsoft Office: устранение проблем в Word и Skype

«Это расследование длилось более семи месяцев и выявило возможную компрометацию конфиденциальной информации, хранящейся в почтовых ящиках Office 365. Через 243 дня после первого вторжения DART взяла на себя управление нанятой управляющей компанией», - сообщает Microsoft.

«DART быстро выявила целевые поиски почтовых ящиков и взломанных учетных записей, а также каналы управления и контроля для злоумышленников. DART также выявила пять дополнительных вторжения которые настаивают, что не имеют никакого отношения к первоначальному инциденту. даже раньше, чтобы создать каналы доступа (например, задние двери) для дальнейшего использования по мере необходимости ».

Microsoft выделяет пять основных шагов, которые организации могут использовать, чтобы минимизировать воздействие атак APT, включая их включение МИД, его удаление идентификация устаревшее, надлежащее обучение персонала, отвечающего за реагирование, надлежащее ведение журнала инцидентов с помощью продукта для обеспечения безопасности, управления информацией и событиями, а также признание того, что злоумышленники используют законные инструменты администрирования и безопасности для определения целей.

Блог предлагает то же сообщение, которое он дал клиентам, которые стали жертвами основных групп вымогателей на прошлой неделе: клиенты должны включить доступные инструменты безопасности и сосредоточиться на записи инцидентов безопасности.

Microsoft освещала работу операторов-вымогателей RevilСамас или СамСам, Доппельпаймер, Битпаймер и Ryuk, В нем подробно описывается, как злоумышленники деактивируют программное обеспечение безопасности, и отмечается, что некоторые клиенты даже деактивируют программное обеспечение безопасности для повышения безопасности. возвращение, позволяя киберпреступникам месяцами бродить по сетям без авторизации.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ