從 Ryuk 勒索軟體的災難中回復

CorporateRansomware
Ryuk

作者 Sally Adam

 

最近幾週,SophosLabs 注意到 Ryuk 勒索軟體的數量激增。這種特別令人討厭的威脅是經由複雜的多階段攻擊傳遞的,它會癱瘓並勒索各個組織。

如要了解如何阻止 Ryuk,最好先了解這個攻擊是如何進行的。

Ryuk 幕後的推手是主動式的犯罪分子,他們將先進的攻擊技術與互動式的手動駭客技巧相結合,以提高成功率。

他們通常鎖定無法承受任何停機的組織 (例如報紙、政府機構和公用事業),以便提高取得贖金的可能性。而且他們要求的贖金數字都很大。這些勒索軟體通常要求以比特幣支付 6 位數美元的款項。

Ryuk 攻擊很複雜。其通常先以 Emotet 或 TrickBot 攻擊開始,透過垃圾郵件發送惡意附件,以便讓網路犯罪分子進入您的網路。

一旦入侵成功,他們就會竊取憑證並建立一個新的系統管理員。當提升到系統管理員權限之後,駭客就可以在您的網路中四處移動,搜刮您的 Active Directory 並刪除您的備份。

在移除您的安全網後,他們將會嘗試停用您的網路安全產品,然後放出 Ryuk 勒索軟體,加密您的檔案並要求巨額贖金。

使用 Sophos Intercept X Advanced 阻擋 Ryuk

阻擋 Ryuk 時不僅要擋下一個軟體,還必須擋住背後的主動式敵人,並破壞讓他們有能力運作 Ryuk 的攻擊鏈。Sophos Intercept X Advanced 包含一系列偵測和破壞攻擊各個階段的技術,包括:

  • 偵測並阻擋用於下載和安裝 Emotet 和 Trickbot 的漏洞利用技術 (通常是透過 PowerShell 或 WMI),以防駭客進入您的網路。
  • 經由與 Sophos XG Firewall 即時協同作業,可阻止整個網路上的橫向移動。
  • 防止憑證被竊,以阻止對系統的未經授權存取和提升系統管理員權限的行為。
  • 透過使用深度學習神經網路檢查勒索軟體的 “DNA”,以阻止勒索軟體執行。
  • 透過 CryptoGuard 功能偵測並回復未經授權的檔案加密

取得 30 天免費試用版試用 Intercept X 的反勒索軟體功能

您的專屬威脅獵殺和回應團隊

儘管許多勒索軟體都是透過大規模垃圾郵件發送散佈的,但 Ryuk 使用自動化攻擊獲得最初的立足點,然後再利用人為手法躲避偵測。換句話說,該項攻擊的背後有一個藏鏡人,目的是躲避或操縱您現有的安全控制措施。

為了因應這種主動式威脅,擁有一支專門的威脅獵殺和回應團隊才能發揮作用。Sophos 託管式威脅回應 (Managed Threat Response, MTR) 團隊可以主動搜尋、偵測並即時回應攻擊,以清除會破獲資料的勒索軟體和其他進階型威脅。立即了解 Sophos MTR 的更多資訊。

阻擋勒索軟體的最佳作法

無論貴公司是何種規模和所在的行業為何,我們都建議您遵循以下最佳作法,以大幅降低遭受勒索軟體攻擊的風險:

  • 教育您的使用者。向他們講解強式密碼的重要性,並盡可能在所有地方使用兩因素驗證。
  • 保護存取權限。對使用者和系統管理員帳戶僅提供他們所需的存取權限,避免濫用。
  • 進行定期備份,並將其保存在攻擊者無法找到的位置。它們可能是您避免損失大筆贖金的最後一道防線。
  • 及早修補、經常修補。如 WannaCry 和 NotPetya 等勒索軟體都是透過未修補的弱點在全球傳播。
  • 鎖定您的 RDP。不需要時請關閉 RDP;如果需要,請使用速率限制、2FA 或 VPN 來加以保護。
  • 確保啟用防竄改保護。Ryuk 和其他勒索軟體都會試圖停用您的端點保護。防竄改保護的目的就是避免這種情況發生。
  • 對您的團隊進行網路釣魚教育。網路釣魚是勒索軟體的主要散佈機制之一。
  • 使用反勒索軟體保護。Sophos Intercept X 和 XG Firewall 是專為對抗勒索軟體及其影響所設計。Sophos Managed Threat Response (MTR) 提供一個威脅獵殺團隊,他們將主動搜尋、偵測並消除以人工發動的攻擊。

 

英文原文: https://news.sophos.com/en-us/2019/10/04/rolling-back-ryuk-ransomware/?cmp=37277

 

Leave a Reply

Your email address will not be published.