A célzott zsarolóvírus támadások során több hét, vagy akár hónap is eltelhet az adott rendszerhez történő kezdeti hozzáférés és az állományok tényleges titkosításának megkezdése között. A köztes időben a támadók lépésről-lépésre feltérképezik az érintett infrastruktúrát, és gyenge pontokat keresve igyekeznek hozzáférni minél több munkaállomáshoz.

A kezdeti fertőzés nagyon sok esetben gyenge jelszóval védett RDP fiókokon keresztül, vagy egy célzott adathalász e-maillel történik. A támadás megelőzéséhez javasolt az RDP fiókok biztonsági hardeningje amelyről például az NBSZ NKI  vonatkozó riasztásában találhat hasznos javaslatokat.

A ransomware támadások következő, felderítő fázisban a támadók sok esetben olyan hálózati felderítő (port) szkennereket használnak, mint az  AngryIP, vagy például az Advanced Port Scanner. Ezek észlelése esetén javasolt azonnal alapos kivizsgálást végezni. Ugyanígy jelentős figyelmeztető jel a hackerek körében nagy népszerűségnek örvendő MimiKatz, vagy a  Microsoft Process Explorer észlelése, amelyeket például jelszavak, hitelesítő adatok ellopására használnak.

A támadások tipikus célpontja a központi címtárszolgáltatás (Microsoft környezetben Active Directory) amelyen céljuk lehet saját adminisztrátori fiók létrehozása. Ennek birtokában már hozzákezdhetnek a biztonsági szoftverek lekapcsolásához/eltávolításához például olyan legitim szoftverek segítségével, mint a Process Hacker, az IOBit Uninstaller, a GMER, vagy például a PC Hunter. Szintén gyakori a PowerShell rosszindulatú alkalmazása. Ezzel kapcsolatban javasolt áttekinteni a CERT-EU által összeállított fehér könyvet, amely “B” függelékében a PowerShell rosszindulatú alkalmazásra utaló indikátorokat is tartalmaz.

Közvetlenül a titkosítás megkezdése előtt már olyan szembeötlő lépésekre lehet számítani, mint az Active Directory és a domain controllerek leállítása, a biztonsági mentések megsemmisítése, patch management rendszerek kikapcsolása.

Forrás: zdnet.com