A célzott zsarolóvírus támadások során több hét, vagy akár hónap is eltelhet az adott rendszerhez történő kezdeti hozzáférés és az állományok tényleges titkosításának megkezdése között. A köztes időben a támadók lépésről-lépésre feltérképezik az érintett infrastruktúrát, és gyenge pontokat keresve igyekeznek hozzáférni minél több munkaállomáshoz.
A kezdeti fertőzés nagyon sok esetben gyenge jelszóval védett RDP fiókokon keresztül, vagy egy célzott adathalász e-maillel történik. A támadás megelőzéséhez javasolt az RDP fiókok biztonsági hardeningje amelyről például az NBSZ NKI vonatkozó riasztásában találhat hasznos javaslatokat.
A ransomware támadások következő, felderítő fázisban a támadók sok esetben olyan hálózati felderítő (port) szkennereket használnak, mint az AngryIP, vagy például az Advanced Port Scanner. Ezek észlelése esetén javasolt azonnal alapos kivizsgálást végezni. Ugyanígy jelentős figyelmeztető jel a hackerek körében nagy népszerűségnek örvendő MimiKatz, vagy a Microsoft Process Explorer észlelése, amelyeket például jelszavak, hitelesítő adatok ellopására használnak.
A támadások tipikus célpontja a központi címtárszolgáltatás (Microsoft környezetben Active Directory) amelyen céljuk lehet saját adminisztrátori fiók létrehozása. Ennek birtokában már hozzákezdhetnek a biztonsági szoftverek lekapcsolásához/eltávolításához például olyan legitim szoftverek segítségével, mint a Process Hacker, az IOBit Uninstaller, a GMER, vagy például a PC Hunter. Szintén gyakori a PowerShell rosszindulatú alkalmazása. Ezzel kapcsolatban javasolt áttekinteni a CERT-EU által összeállított fehér könyvet, amely “B” függelékében a PowerShell rosszindulatú alkalmazásra utaló indikátorokat is tartalmaz.
Közvetlenül a titkosítás megkezdése előtt már olyan szembeötlő lépésekre lehet számítani, mint az Active Directory és a domain controllerek leállítása, a biztonsági mentések megsemmisítése, patch management rendszerek kikapcsolása.
Forrás: zdnet.com
