全国服务热线:

牛宝体育_牛宝体育平台_牛宝体育手机app

全国服务热线:
邮 箱:
网 址:https://www.2daysworld.com
地址:

您现在的位置: 牛宝体育 > 赛事与活动

赛事与活动

牛宝体育app手机版:Sophos研究人员回报如何在没有两种攻击完全相同的情况下侦测和防御 REvil 勒索软件

人气: 发表时间:2022-10-21

REvil,也称为 Sodinokibi,是一种成熟且被广为使用的勒索软件即服务 (RaaS) 产品。犯罪分子可以向开发者租用勒索软件,新增自己的锁定目标,再将勒索软件散布到受害者的电脑。因此,REvil 勒索软件攻击的方法和影响力是高度可变的,具体取决于租用者的工具、行为、资源和技能。

在一篇最新文章《》中, 和 团队的研究人员详细介绍了攻击者在发动 REvil 攻击时最常使用的工具和行为。该研究的目的是为防御人员提供可执行的深入信息,让他们可以找出即将发生或正在发生的 REvil 攻击并保护组织。

Sophos 研究人员发现的 REvil 攻击工具和行为包括:

透过暴力破解攻击已知的因特网服务,如 VPN、远端桌面通讯协定 (RDP)、桌面远端管理工具 (如 VNC),甚至是一些以云端为基础的管理系统;滥用透过恶意软件或网络钓鱼取得的凭证;也会只将装载附加到目标网络上已经存在的其他恶意软件 使用 Mimikatz 取得网域系统管理员的凭证和提升权限 透过停用或删除备份、停用安全技术,以及找出欲加密的目标电脑,为后续散布勒索软件打下基础  上载大量外泄资料 — 尽管 Sophos 研究人员只在约半数 REvil/Sodonokibi 调查事件中看到这个行为。在有资料被窃的案件中下,大约四分之三的攻击使用 Mega.nz 作为被窃资料的 (临时) 存放区 在资料加密之前,将电脑重新启动到安全模式以绕过端点保护工具

这篇文章还揭露 REvil 勒索软件的内部架构,细数其组成到执行时的行为。

Sophos 首席研究员 Andrew Brandt 表示:“REvil/Sodinokibi 是出现以久的常见勒索软件,造成许多破坏并索求数百万美元的赎金。它的成功或许创建在一点,即这种勒索软件即服务产品所发动的攻击每次都是不同的。防御人员很难知道什么才是需要注意的警告信号。

“根据 Sophos Rapid Response 的调查结果,部署 REvil 勒索软件的攻击者可能会采人为进行且非常持久。在该团队最近调查的一次 REvil 攻击中,从受感染服务器收集的资料显示,在五分钟内就遭到大约 35,000 次失败的登入尝试,来自全球 349 个唯一的 IP 地址。此外值得注意的是,勒索软件的发展不仅越来越复杂,而且密度越来越高。在 Sophos 研究人员看到的两次 REvil 攻击中,最初的进入点是另一个攻击者在早期勒索软件攻击时留下的后门。

“幸运的是,防御人员可以采取一些措施来保护他们的企业、网络和端点。最理想的情况,就是阻止攻击者进入网络。但这一点不容易办到,因此还必须进行有效的侦测。如果能早期侦测到入侵者的存在,就可以阻止攻击进一步展开。”

如需了解 REvil/Sodinokibi 勒索软件攻击以及如何防御的更多信息,请参阅 的文章。