Команда защиты от угроз-аналитики Microsoft предупреждает, что вымогателей преступники продолжают атаковать healtchare и провайдеров критических услуг во время кризиса, вызванного пандемией, и выпустил подробные рекомендации о том, как уменьшить риск стать их жертвой.

Вымогателей атаки не делаются в автоматическом режиме, Майкрософт сказал.

Вместо этого, они проводят преступных группировок, которые работают по компрометирующим интернета, сетевых устройств, чтобы обеспечить свое присутствие на уязвимых системах месяцы, прежде чем они ударить и украсть и шифрования данных потерпевших.

Злоумышленники имеют различные векторы, с которыми они могут ввести сетей потерпевших и горизонтальные перемещения в рамках этих для захвата учетных данных и подготовки к окончательной активации вымогателей, Microsoft отметила.

Последние рекламных кампаний, групп безопасности Microsoft отметили, представленный протокол удаленного рабочего стола или виртуальных настольных систем, которые не обеспечены многофакторной проверки подлинности.

Старые, неподдерживаемые и устаревших операционных систем, таких как Microsoft с Windows Server 2003 С слабые пароли и 2008, неправильной настройке веб-сервера, включая интернет информационные услуги, резервное копирование серверов, электронных медицинских записей программного обеспечения, серверов и систем управления все время атаковали.

Уязвимых контроллер доставки приложений компании Citrix и пульс обеспечить также в места вымогателей преступники и должны быть как можно скорее исправлена.

Однажды вымогателей преступники получили доступ к уязвимым, интернета, устройств и конечных точек, они пытаются украсть учетные данные для входа администратора и горизонтальные перемещения в сети при помощи обычных инструментов, таких как Mimikatz и кобальтовый удар, сказал Microsoft.

Они также могут прятаться в сетях, для разведки и эксфильтрации данных.

С боковым перемещением добились, злоумышленники создают новые учетные записи, изменить объект групповой политики в Windows, добавьте запланированных задач и реестр служб операционной системы, и развернуть ресурсы и средства удаленного доступа для сохранения, и ждать удобного момента для активации вымогателей шантажа жертв.

Несколько управля вымогателей полезных данных активно используется в настоящее время.

Они включают в RobbinHood, Ревил/Sodinokibi, на основе Java PonyFinal и Лабиринт, операторы, которые были одним из первых, чтобы продать украденные данные от поставщиков технологии и коммунальных услуг он напал, сказал Microsoft.

Одной конкретной кампании, NetWalker, цели, больниц и медицинских работников через фиктивные COVID-19 тема сообщения вымогателей доставили Как избавиться от визуального основной файл сценария.

Помимо активно латать систем, Microsoft сказал остерегаться вредоносного поведения, такие как манипуляции с событий безопасности, журналов и других методов, используемых, чтобы избежать обнаружения подозрительных доступ к службы LSASS (службе LSASS), и реестра Windows, базы данных изменения, которые могут указывать, что данные кражи происходят.

Изучения журнала событий Windows в первой части предполагаемого нарушения, глядя для события с кодом 4624 и тип входа 2 или 10 может указывать на пост-ограничивали доступ, Microsoft сказал.

Позже, в поисках Вэл по типу 4 или 5 входов также может свидетельствовать о подозрительной деятельности нарушения.

Вымогателей преступники показывают никаких угрызений совести, как последствия их нападения на медицинских работников, Microsoft предупредила.

Недавно они также причинили значительный ущерб для организаций, таких как Forex гигантские компании Travelex , которое пришлось закрыть свои системы на Новый год, и глобальную логистическую компанию платные группы.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here