勒索软件攻击是世界各地组织面临的一个主要问题,而且这个问题的严重性还在不断加剧。
最近,微软的事件响应团队调查了BlackByte 2.0勒索软件攻击,并揭露了这些网络攻击的可怕速度和破坏性。
研究结果表明,黑客可以在短短5天内完成从获得初始访问权限到造成重大破坏的整个攻击过程。他们不失时机地渗透系统,加密重要数据,并要求赎金释放。
这一缩短的时间给试图保护自己免受这些有害操作的组织带来了重大挑战。
BlackByte勒索软件用于攻击的最后阶段,使用8位数字密钥对数据进行加密。
要进行这些攻击,黑客使用的工具和技术的强大组合。调查显示,他们利用未打补丁的Microsoft Exchange服务器——这种方法已被证明非常成功。通过利用此漏洞,他们获得了对目标网络的初始访问权,并为他们的恶意活动奠定了基础。
勒索软件还采用进程空心化和防病毒逃避策略,以保证成功加密和规避检测。
此外,web shell为他们配备了远程访问和控制,使他们能够在被入侵的系统中保持存在。
该报告还强调了Cobalt Strike信标的部署,这有助于指挥和控制操作。这些复杂的工具为攻击者提供了广泛的技能,使组织更难防御这些攻击。
除了这些策略,调查还发现了网络犯罪分子使用的其他一些令人不安的做法。他们利用“离乡背井”的工具混入合法的程序,逃避检测。
勒索软件修改受感染计算机上的卷影副本,以防止通过系统还原点进行数据恢复。攻击者还部署特制的后门,确保即使在最初的妥协后,攻击者仍能继续访问。
勒索软件攻击令人不安的激增要求全球组织立即采取行动。针对这些发现,微软提供了一些切实可行的建议。
主要敦促组织实施强大的补丁管理程序,确保他们及时应用关键的安全更新。启用篡改保护是另一个重要步骤,因为它加强了安全解决方案,防止恶意尝试禁用或绕过它们。