дома безопасность Операторы-вымогатели прячутся в вашей сети после атаки

Операторы-вымогатели прячутся в вашей сети после атаки

Многие компании / жертвы вымогателей считают, что злоумышленники быстро разрабатывают вымогателей и покидают свои сети, чтобы предотвратить их обнаружение. К сожалению, реальность совсем иная, поскольку угрозы не такие быстрые.

вымогателей

На самом деле, атаки вымогателей происходят со временем, в диапазоне от дня до месяца, когда оператор вымогателей нарушает сеть.

Это нарушение связано с открытыми службами удаленного рабочего стола, уязвимостями VPN или через удаленный доступ обеспечивается вредоносными программами, такими как TrickBot, Dridex и QakBot.

Получив доступ, они используют такие инструменты, как Mimikatz, PowerShell Empire, PSExec и другие, для сбора учетных данных и распространения по сети.

Как они получают доступ к компьютерам в сетьиспользовать эти учетные данные для кражи незашифрованных файлов с устройств резервного копирования и серверы до разработки атаки вымогателей.

После разработки вымогателей многие жертвы считают, что операторы вымогателей покидают свою сеть и фактически находятся в опасности.

Это убеждение далеко от истины, как видно из недавнего атака по операторам Maze Ransomware.

Лабиринт продолжал воровать файлы после атаки вымогателей

Недавно операторы Maze Ransomware обнаружили на своем веб-сайте, что они вторглись в сеть дочерней компании ST Engineering под названием VT San Antonio Aerospace (VT SAA).

Что пугает эту утечку, так это то, что Maze слил документ, содержащий отчет ИТ-отдела компании о нападении вымогателей.

Этот украденный документ показывает, что Maze все еще скрывался в их сети и продолжал следить за кражей файлов компанией, поскольку расследование атаки продолжалось.

Этот постоянный доступ не редкость, когда речь идет о подобных атаках.

Джон Фоккер, глава исследования киберпространства в McAfee, сказал BleepingComputer, что в некоторых атаках угрожающие агенты читают электронные письма жертв даже во время переговоров.

«Мы знаем о нескольких случаях, когда операторы программ-вымогателей оставались в сети жертвы после того, как их программа-вымогатель была развернута. В этих случаях злоумышленники зашифровали резервные копии жертвы после первоначальной атаки или во время переговоров, что дало понять, что атакующий он все еще имел доступ к электронной почте жертвы и «читал» ее. "

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ