Feds เตือนเกี่ยวกับการอาละวาดของ Royal ransomware ที่ใช้ขอบเขตของ TTP

สหรัฐอเมริกา สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ซึ่งเรียกตัวเองว่า “หน่วยงานป้องกันไซเบอร์ของอเมริกา” เพิ่งออกประกาศบริการสาธารณะภายใต้ #หยุดแรนซัมแวร์ แบนเนอร์

รายงานนี้มีหมายเลขกำกับ AA23-061กและหากคุณติดนิสัยคิดว่าแรนซัมแวร์เป็นภัยคุกคามเมื่อวานนี้ หรือการโจมตีทางไซเบอร์เฉพาะอื่นๆ ควรอยู่ในอันดับต้น ๆ ของรายการของคุณในปี 2023 คุณควรอ่านมันให้ดี

ความเสี่ยงที่คุณแนะนำโดยการละสายตาจากภัยคุกคามแรนซัมแวร์ในปี 2023 เพื่อมุ่งเน้นไปที่หัวข้อถัดไปที่เก่าแล้วกลับมาใหม่อีกครั้ง (ChatGPT? Cryptojacking? Keylogging? Source Code theft? จะต้องเผชิญหากคุณเริ่มมุ่งเน้นไปที่แรนซัมแวร์โดยเฉพาะเมื่อไม่กี่ปีที่ผ่านมา ซึ่งเป็นช่วงเวลาที่เกิดความกลัวครั้งใหม่

ประการแรก คุณมักจะพบว่าเมื่อภัยคุกคามทางไซเบอร์หนึ่งดูเหมือนจะลดลง เหตุผลที่แท้จริงก็คือภัยคุกคามอื่นๆ กำลังเพิ่มขึ้นในแง่สัมพัทธ์ แทนที่จะคิดว่าภัยคุกคามอื่นๆ

ในความเป็นจริง การเพิ่มขึ้นของอาชญากรรมทางไซเบอร์ X ที่เกิดขึ้นพร้อมกับการลดลงของ Y อย่างเห็นได้ชัด อาจเป็นเพราะอาชญากรจำนวนมากขึ้นเรื่อย ๆ ซึ่งก่อนหน้านี้มักจะเชี่ยวชาญใน Y กำลังทำ X และแทนที่จะเป็น Y

ประการที่สอง แม้เมื่ออาชญากรรมทางไซเบอร์รายการใดรายการหนึ่งแสดงความแพร่หลายลดลง คุณจะพบว่ายังคงมีอยู่มากมาย และอันตรายยังคงไม่ลดลงหากคุณถูกโจมตี

อย่างที่เราชอบพูดกันใน Naked Security ว่า “ผู้ที่ จำอดีตไม่ได้ ถูกประณามให้ทำซ้ำ”

เดอะรอยัลแก๊ง

คำแนะนำ AA23-061a มุ่งเน้นไปที่ตระกูลแรนซัมแวร์ที่รู้จักกันในชื่อ ราชแต่ประเด็นสำคัญมาจาก CISA's พูดธรรมดา ที่ปรึกษา มีรายละเอียดดังนี้:

• พวกมิจฉาชีพเหล่านี้ใช้วิธีที่พยายามและเชื่อถือได้ สิ่งเหล่านี้รวมถึงการใช้ฟิชชิ่ง (2/3 ของการโจมตี) ค้นหาเซิร์ฟเวอร์ RDP ที่กำหนดค่าไม่ถูกต้อง (1/6 ของการโจมตี) ค้นหาบริการออนไลน์ที่ไม่ได้แพตช์บนเครือข่ายของคุณ หรือเพียงแค่ซื้อข้อมูลรับรองการเข้าถึงจากอาชญากรที่เคยเข้ามา พวกเขา. อาชญากรไซเบอร์ที่ขายข้อมูลประจำตัวเพื่อหาเลี้ยงชีพ โดยทั่วไปแล้วให้กับโจรขโมยข้อมูลและแก๊งแรนซัมแวร์ เป็นที่รู้จักในศัพท์เฉพาะว่า IABย่อมาจากคำที่อธิบายตนเอง โบรกเกอร์การเข้าถึงเบื้องต้น.
• อาชญากรพยายามหลีกเลี่ยงโปรแกรมที่อาจแสดงเป็นมัลแวร์อย่างชัดเจน พวกเขาอาจมองหาเครื่องมือการบริหารที่มีอยู่หรือนำมาเอง โดยรู้ว่าง่ายกว่าที่จะหลีกเลี่ยงข้อสงสัยว่าคุณแต่งตัว พูดคุย และทำตัวเหมือนคนท้องถิ่น – ในแง่ศัพท์แสง ถ้าคุณ อยู่นอกแผ่นดิน. เครื่องมือที่ถูกต้องตามกฎหมายที่ผู้โจมตีใช้ในทางที่ผิดรวมถึงยูทิลิตี้ที่มักใช้สำหรับการเข้าถึงระยะไกลอย่างเป็นทางการ สำหรับการเรียกใช้คำสั่งการดูแลระบบจากระยะไกล และสำหรับงานดูแลระบบทั่วไป ตัวอย่าง ได้แก่: PsExec จาก Microsoft Sysinternals; เดอะ AnyDesk เครื่องมือการเข้าถึงระยะไกล และไมโครซอฟต์ PowerShellซึ่งติดตั้งมาล่วงหน้าในคอมพิวเตอร์ Windows ทุกเครื่อง
• ก่อนการสแครมไฟล์ ผู้โจมตีพยายามทำให้เส้นทางการกู้คืนของคุณยุ่งยาก อย่างที่คุณคาดไว้ พวกมันกำจัด Shadow Copy ของไดรฟ์ข้อมูล (สแน็ปช็อตแบบ “ย้อนกลับ” ของ Windows แบบสด) พวกเขายังเพิ่มบัญชีผู้ดูแลระบบที่ไม่เป็นทางการของตัวเองเพื่อให้พวกเขาสามารถกลับเข้ามาได้หากคุณเลิกใช้ แก้ไขการตั้งค่าซอฟต์แวร์รักษาความปลอดภัยของคุณเพื่อปิดเสียงการเตือน ควบคุมไฟล์ที่พวกเขาไม่สามารถช่วงชิงได้ และทำให้ระบบของคุณยุ่งเหยิง บันทึกเพื่อให้ยากที่จะทราบในภายหลังว่ามีการเปลี่ยนแปลงอะไรบ้าง

เพื่อให้ชัดเจน คุณต้องสร้างความมั่นใจในการป้องกัน TTP เหล่านี้ทั้งหมด (เครื่องมือ เทคนิค และขั้นตอนต่างๆ) ไม่ว่าผู้โจมตีกลุ่มใดจะมีเป้าหมายเพื่อแบล็กเมล์คุณซึ่งเป็นส่วนหนึ่งของเกมจบของพวกเขาหรือไม่ก็ตาม

ต้องบอกว่าแน่นอนว่าแก๊งราชวงศ์นี้ดูจะสนใจเทคนิคที่ระบุโดย MITER ATT&CK framework ของรัฐบาลสหรัฐฯ ด้วยแท็กที่ไม่สุภาพ T1486ซึ่งมีป้ายกำกับชื่อที่น่าวิตก ข้อมูลที่เข้ารหัสเพื่อผลกระทบ.

พูดง่ายๆ ก็คือ T1486 โดยทั่วไปหมายถึงผู้โจมตีที่วางแผนรีดไถเงินจากคุณเพื่อแลกกับการถอดรหัสไฟล์อันมีค่าของคุณ และผู้ที่มุ่งบีบคั้นคุณให้หนักขึ้นกว่าเดิมโดยสร้างการรบกวนมากที่สุดเท่าที่จะเป็นไปได้ และทำให้ตนเองใช้อำนาจแบล็กเมล์มากที่สุดเท่าที่จะทำได้ .

อันที่จริง กระดานข่าว AA23-061a เตือนว่า:

Royal [อาชญากรแรนซัมแวร์] ได้เรียกร้องค่าไถ่ตั้งแต่ประมาณ 1 ล้านเหรียญถึง 11 ล้านเหรียญสหรัฐใน Bitcoin

และเพื่อให้ชัดเจน พวกเขามักจะขโมย (หรือพูดให้ชัดกว่านั้น คือ ขโมยสำเนาที่ไม่ได้รับอนุญาต) ข้อมูลของคุณให้มากที่สุดเท่าที่จะมากได้ก่อนที่จะทำการแช่แข็งไฟล์ของคุณ เพื่อกดดันให้เกิดการขู่กรรโชกมากขึ้นไปอีก:

หลังจากเข้าถึงเครือข่ายของเหยื่อได้แล้ว นักแสดงของ Royal จะปิดใช้งานซอฟต์แวร์ป้องกันไวรัสและกรองข้อมูลจำนวนมากก่อนที่จะปรับใช้แรนซัมแวร์และเข้ารหัสระบบในท้ายที่สุด

จะทำอย่างไร?

โจรเช่นแก๊ง Royal เป็นที่รู้จักในศัพท์แสงว่า ศัตรูที่ใช้งานอยู่เพราะพวกเขาไม่เพียงแค่ยิงมัลแวร์ใส่คุณและดูว่ายังติดอยู่หรือไม่

พวกเขาใช้เครื่องมือและสคริปต์ที่ตั้งโปรแกรมไว้ล่วงหน้าในทุกที่ที่ทำได้ (อาชญากรชอบระบบอัตโนมัติพอๆ กับใครๆ) แต่พวกเขาให้ความสนใจเป็นรายบุคคลต่อการโจมตีแต่ละครั้ง

สิ่งนี้ไม่เพียงแต่ทำให้พวกเขาปรับตัวได้มากขึ้นเท่านั้น (พวกเขาจะเปลี่ยน TTP ในทันทีหากพวกเขาเห็นวิธีที่ดีกว่าในการทำสิ่งที่แย่กว่านั้น) แต่ยังมีการลอบเร้นมากขึ้นด้วย (พวกเขาจะปรับ TTP ตามเวลาจริงเมื่อพวกเขารู้ว่าคุณตั้งรับอย่างไร) หนังสือเล่น).

• เรียนรู้เพิ่มเติมโดยการอ่านของเรา Playbook Aversary ที่ใช้งานอยู่, การศึกษาที่น่าทึ่งเกี่ยวกับการโจมตี 144 ครั้งในชีวิตจริงโดย John Shier ซีทีโอของ Sophos Field

---

---

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://nakedsecurity.sophos.com/2023/03/03/feds-warn-about-right-royal-ransomware-rampage-that-runs-the-gamut-of-ttps/