去年,检测到双重勒索勒索软件威胁激增,最近一次是在加拿大的一家能源公司。黑客显然已经完成了他们的功课,针对公司量身定制了攻击方式,并在进入公司后迅速而隐秘地行动。下面是这个现实世界事件的时间线,它主要是在 24 小时内进行的。
检测到入侵的每个阶段,并通过高优先级警报通知安全团队。如果Antigena在环境中处于活动状态,则受感染的服务器一旦开始出现异常行为就会被隔离,从而防止感染传播。
加密和渗透
最初的感染媒介尚不清楚,但管理员帐户很可能受到网络钓鱼链接或漏洞利用的影响。这表明了从过去十年广泛的“喷洒和祈祷”勒索软件活动转向更有针对性的方法的趋势。
Cyber?? AI 识别出一台内部服务器正在使用远程桌面协议(RDP) 进行异常网络扫描并尝试横向移动。泄露的管理员凭据被用于从服务器快速传播到另一个内部设备“serverps”。
设备“serverps”启动了与 TeamViewer 的出站连接,这是一种合法的文件存储服务,已激活了近 21 小时。此连接用于远程控制设备并促进进一步的攻击阶段。尽管 TeamViewer 并未在公司的数字环境中广泛使用,但它并没有被任何传统防御措施所阻挡。
该设备随后连接到内部文件服务器并下载了 1.95 TB 的数据,并将相同数量的数据上传到 pcloud[.]com。这种渗漏发生在工作时间,以融入常规的管理活动。
还看到该设备下载了 Rclone 软件——一种开源工具,它很可能被用于将数据自动同步到合法的文件存储服务 pCloud。
受损的管理员凭证允许攻击者在此期间横向移动。数据泄露完成后,“serverps”设备终于开始加密 12 台设备上的文件,扩展名为 *.06d79000。与大多数勒索软件事件一样,加密发生在办公时间之外- 当地时间过夜 - 以最大限度地减少安全团队快速响应的机会。
人工智能驱动的调查
Cyber?? AI Analyst 报告了与攻击相关的四起事件,向安全团队强调了可疑行为,并提供了有关受影响设备的报告,以便立即进行补救。这种简洁的报告使安全团队能够快速确定感染的范围并做出相应的反应。
双重麻烦
使用合法工具和“远离土地”技术(使用 RDP 和受损的管理员凭据)允许威胁参与者在不到 24 小时内执行大部分攻击。通过利用 TeamViewer 作为数据泄露的合法文件存储解决方案,而不是依赖已知的“坏”或最近注册的域,黑客可以轻松绕过所有现有的基于签名的防御。
如果没有检测到这种入侵并立即向安全团队发出警报,那么这次攻击可能不仅会导致员工被锁定在文件之外的“业务拒绝”,而且还会导致敏感数据丢失。AI 通过自动调查和按需报告进一步节省了团队的重要时间。
双重勒索勒索软件会造成更多损失。泄露提供了另一层风险,导致知识产权受损、声誉受损和合规罚款。一旦威胁组织获得了您的数据,他们可能会很容易地要求更多付款。因此,重要的是在这些攻击发生之前对其进行防御,主动实施能够在威胁出现时立即检测并自主响应的网络安全措施。