去年，檢測到雙重勒索勒索軟件威脅激增，最近一次是在加拿大的一家能源公司。黑客顯然已經(jīng)完成了他們的功課，針對公司量身定制了攻擊方式，并在進(jìn)入公司后迅速而隱秘地行動(dòng)。下面是這個(gè)現實(shí)世界事件的時(shí)間線(xiàn)，它主要是在 24 小時(shí)內進(jìn)行的。

檢測到入侵的每個(gè)階段，并通過(guò)高優(yōu)先級警報通知安全團隊。如果Antigena在環(huán)境中處于活動(dòng)狀態(tài)，則受感染的服務(wù)器一旦開(kāi)始出現異常行為就會(huì )被隔離，從而防止感染傳播。

加密和滲透

最初的感染媒介尚不清楚，但管理員帳戶(hù)很可能受到網(wǎng)絡(luò )釣魚(yú)鏈接或漏洞利用的影響。這表明了從過(guò)去十年廣泛的“噴灑和祈禱”勒索軟件活動(dòng)轉向更有針對性的方法的趨勢。

Cyber?? AI 識別出一臺內部服務(wù)器正在使用遠程桌面協(xié)議(RDP) 進(jìn)行異常網(wǎng)絡(luò )掃描并嘗試橫向移動(dòng)。泄露的管理員憑據被用于從服務(wù)器快速傳播到另一個(gè)內部設備“serverps”。

設備“serverps”啟動(dòng)了與 TeamViewer 的出站連接，這是一種合法的文件存儲服務(wù)，已激活了近 21 小時(shí)。此連接用于遠程控制設備并促進(jìn)進(jìn)一步的攻擊階段。盡管 TeamViewer 并未在公司的數字環(huán)境中廣泛使用，但它并沒(méi)有被任何傳統防御措施所阻擋。

該設備隨后連接到內部文件服務(wù)器并下載了 1.95 TB 的數據，并將相同數量的數據上傳到 pcloud[.]com。這種滲漏發(fā)生在工作時(shí)間，以融入常規的管理活動(dòng)。

還看到該設備下載了 Rclone 軟件——一種開(kāi)源工具，它很可能被用于將數據自動(dòng)同步到合法的文件存儲服務(wù) pCloud。

受損的管理員憑證允許攻擊者在此期間橫向移動(dòng)。數據泄露完成后，“serverps”設備終于開(kāi)始加密 12 臺設備上的文件，擴展名為 *.06d79000。與大多數勒索軟件事件一樣，加密發(fā)生在辦公時(shí)間之外- 當地時(shí)間過(guò)夜 - 以最大限度地減少安全團隊快速響應的機會(huì )。

人工智能驅動(dòng)的調查

Cyber?? AI Analyst 報告了與攻擊相關(guān)的四起事件，向安全團隊強調了可疑行為，并提供了有關(guān)受影響設備的報告，以便立即進(jìn)行補救。這種簡(jiǎn)潔的報告使安全團隊能夠快速確定感染的范圍并做出相應的反應。

雙重麻煩

使用合法工具和“遠離土地”技術(shù)（使用 RDP 和受損的管理員憑據）允許威脅參與者在不到 24 小時(shí)內執行大部分攻擊。通過(guò)利用 TeamViewer 作為數據泄露的合法文件存儲解決方案，而不是依賴(lài)已知的“壞”或最近注冊的域，黑客可以輕松繞過(guò)所有現有的基于簽名的防御。

如果沒(méi)有檢測到這種入侵并立即向安全團隊發(fā)出警報，那么這次攻擊可能不僅會(huì )導致員工被鎖定在文件之外的“業(yè)務(wù)拒絕”，而且還會(huì )導致敏感數據丟失。AI 通過(guò)自動(dòng)調查和按需報告進(jìn)一步節省了團隊的重要時(shí)間。

雙重勒索勒索軟件會(huì )造成更多損失。泄露提供了另一層風(fēng)險，導致知識產(chǎn)權受損、聲譽(yù)受損和合規罰款。一旦威脅組織獲得了您的數據，他們可能會(huì )很容易地要求更多付款。因此，重要的是在這些攻擊發(fā)生之前對其進(jìn)行防御，主動(dòng)實(shí)施能夠在威脅出現時(shí)立即檢測并自主響應的網(wǎng)絡(luò )安全措施。