您有多久沒有檢查網路的系統設備了?
SophosLab實驗室近期發表《BlackCat ransomware attacks not merely a byproduct of bad luck》的文章揭露勒索軟體攻擊者攻擊工具中新增滲透測試工具 Brute Ratel,內容詳細介紹了一系列勒索軟體攻擊外,其中更強調出 BlackCat勒索軟體透過未修補或過時的防火牆和 VPN 服務,滲透到企業的網路與系統進行攻擊行為。
去年 12 月開始Sophos Rapid Responser陸續接獲至少五起企業遭受BlackCat勒索軟體的事件調查,這些事件中均有一個共同特色,BlackCat勒索軟體是透過防火牆的漏洞入侵進入系統內。攻擊者一旦進入網路內,取得防火牆上的 VPN 憑證,再以授權使用者身分登入,利用遠端桌面通訊協定 (RDP) ,將可以在整個系統中橫向移動。從BlackCat 勒索軟體攻擊的歷程中可以看出,攻擊者會利用開放原始碼和商用工具來建立額外的後門和替代路徑等。這些工具包括 TeamViewer、nGrok、Cobalt Strike 和 Brute Ratel。
Sophos 威脅研究資深經理 Christopher Budd 表示,最近在 BlackCat 和其他攻擊中看到的是威脅行為者的工作非常有效率,新舊手法雙管齊下。攻擊者使用歷史長久的老方法攻擊,例如攻擊老舊的防火牆和 VPN,因為他們知道這些方法仍然有效。但他們使用新手法來避開安全防禦的機制,例如在攻擊中改用了較新的滲透攻擊 C2 架構 Brute Ratel。
目前這些攻擊尚未有明確的模式,持續發生在美國、歐洲和亞洲不同行業領域的大型公司中。不過可發現遭鎖定的公司確實存在某些讓攻擊者更容易得手的環境漏洞,包括無法再更新的過時系統、VPN 缺乏多因素驗證,以及架構扁平的網路 (每台電腦都可以看到網路中的其他電腦)。 Christopher Budd 補充,所有這些攻擊的共同特點是它們很容易發動。最近一個實際案例中,BlackCat 攻擊者在準備發動勒索軟體攻擊前一個月,就先安裝了加密挖礦程式。
這次SophosLab最新研究中也確立出遵循法規的最佳安全作法與預防與阻止勒索軟體的攻擊重要性提醒,其中也包含針對單一網路的多次攻擊防禦。大家可以進一步詳閱以下資訊連結閱讀。
SophosLab實驗室最新文章發表:《BlackCat ransomware attacks not merely a byproduct of bad luck》
Sophos官網瀏覽 www.sophos.com。