บอสตัน (PRWEB)
November 23, 2022
Cybereasonบริษัท XDR ได้ประกาศแจ้งเตือนภัยคุกคามทั่วโลกในวันนี้ ที่ปรึกษา เตือนบริษัทในสหรัฐฯ เกี่ยวกับแคมเปญแรนซัมแวร์ที่อาจแพร่หลายซึ่งดำเนินการโดยแก๊งแรนซัมแวร์ Black Basta องค์กรต่างๆ ควรตื่นตัวเป็นพิเศษต่อการโจมตีของแรนซัมแวร์ในช่วงวันหยุดที่กำลังจะมาถึง เช่นเดียวกับ Cybereason ที่ผ่านมา ศึกษา แสดงให้เห็นว่าการโจมตีเป็นเรื่องปกติในช่วงวันหยุด เนื่องจากโดยทั่วไปแล้วองค์กรต่างๆ มีพนักงานไม่เพียงพอและไม่มีการเตรียมพร้อมสำหรับพวกเขา
แก๊ง Black Basta เกิดขึ้นเมื่อเดือนเมษายน 2022 และตกเป็นเหยื่อของบริษัทหลายร้อยแห่งในสหรัฐอเมริกา สหราชอาณาจักร ออสเตรเลีย นิวซีแลนด์ และแคนาดา องค์กรในประเทศที่พูดภาษาอังกฤษดูเหมือนจะตกเป็นเป้าหมาย Cybereason ประเมินระดับภัยคุกคามของการโจมตีแรนซัมแวร์ต่อองค์กรระดับโลกในปัจจุบันซึ่งอยู่ในระดับสูง
“คุณไม่สามารถจ่ายเงินเพื่อออกจากแรนซัมแวร์ได้ เราไม่แนะนำให้จ่ายค่าไถ่ เว้นแต่องค์กรจะตกอยู่ในสถานการณ์ความเป็นความตาย เนื่องจากคุณเป็นเพียงการขับเคลื่อนเศรษฐกิจของแรนซัมแวร์ที่กำลังขยายตัวเท่านั้น ด้วยการดำเนินงานภายใต้การดูแลของอดีตสมาชิกแก๊งค์แรนซัมแวร์ REvil และ Conti ทำให้ Black Basta ดำเนินงานอย่างมืออาชีพร่วมกับผู้แสดงภัยคุกคามที่ได้รับการฝึกอบรมมาอย่างดีและมีทักษะ พวกเขายังคงใช้รูปแบบการขู่กรรโชกซ้ำซ้อน นั่นคือการเจาะระบบครั้งแรกและกรองข้อมูลที่ละเอียดอ่อน ก่อนที่จะทิ้งเพย์โหลดแรนซัมแวร์ และขู่ว่าจะเผยแพร่ข้อมูลที่ถูกขโมยไป เว้นแต่จะมีการจ่ายค่าไถ่” Lior Div ซีอีโอและผู้ร่วมก่อตั้ง Cybereason กล่าว
ผลการค้นพบที่สำคัญ
- ผู้คุกคามเคลื่อนไหวเร็วมาก: ในกรณีต่างๆ ของการบุกรุกที่ Cybereason ระบุ ผู้คุกคามจะได้รับสิทธิพิเศษของผู้ดูแลระบบโดเมนภายในเวลาไม่ถึงสองชั่วโมง และย้ายไปปรับใช้แรนซัมแวร์ในเวลาน้อยกว่า 12 ชั่วโมง
- ระดับภัยคุกคามอยู่ในระดับสูง: GSOC ของ Cybereason ประเมินระดับภัยคุกคามเป็น "สูง" เนื่องจากแคมเปญที่อาจแพร่หลายซึ่งดำเนินการโดย Black Basta
- แคมเปญ QBot ที่แพร่หลายโดยกำหนดเป้าหมายไปยังบริษัทในสหรัฐฯ: ผู้คุกคามที่ใช้ประโยชน์จากตัวโหลด QBot ได้สร้างเครือข่ายขนาดใหญ่โดยกำหนดเป้าหมายไปที่บริษัทในสหรัฐฯ ซึ่งส่วนใหญ่เป็นบริษัทในสหรัฐฯ และดำเนินการอย่างรวดเร็วกับเหยื่อฟิชชิ่งแบบหอกที่พวกเขาบุกรุก ในช่วงสองสัปดาห์ที่ผ่านมา Cybereason สังเกตเห็นลูกค้ามากกว่า 10 รายที่ได้รับผลกระทบจากแคมเปญล่าสุดนี้
- การล็อกเครือข่าย: ในบรรดาการติดไวรัส Qakbot จำนวนมากที่ Cybereason ระบุ มีสองรายที่อนุญาตให้ผู้คุกคามติดตั้งแรนซัมแวร์ จากนั้นล็อกเหยื่อออกจากเครือข่ายด้วยการปิดใช้งานบริการ DNS ของเหยื่อ ซึ่งทำให้การกู้คืนซับซ้อนยิ่งขึ้น
- การใช้งาน Black Basta: การประนีประนอมที่รวดเร็วอย่างหนึ่งที่ Cybereason สังเกตเห็นนำไปสู่การปรับใช้แรนซัมแวร์ Black Basta สิ่งนี้ทำให้นักวิจัยของ Cybereason สามารถเชื่อมโยงความเชื่อมโยงระหว่างผู้คุกคามที่ใช้ประโยชน์จากตัวดำเนินการ Qakbot และ Black Basta
สามารถหยุดการโจมตีแรนซัมแวร์ได้ Cybereason เสนอคำแนะนำต่อไปนี้แก่องค์กรเพื่อลดความเสี่ยง:
- ปฏิบัติตามหลักสุขอนามัยด้านความปลอดภัยที่ดี ตัวอย่างเช่น ใช้โปรแกรมการรับรู้ด้านความปลอดภัยสำหรับพนักงาน และตรวจสอบให้แน่ใจว่าระบบปฏิบัติการและซอฟต์แวร์อื่นๆ ได้รับการอัปเดตและแพตช์เป็นประจำ
- ยืนยันว่าสามารถเข้าถึงผู้เล่นหลักได้ตลอดเวลา: การดำเนินการตอบสนองที่สำคัญอาจล่าช้าเมื่อเกิดการโจมตีในช่วงวันหยุดและสุดสัปดาห์
- ดำเนินการฝึกหัดและการฝึกซ้อมบนโต๊ะเป็นระยะ: รวมผู้มีส่วนได้ส่วนเสียหลักจากหน่วยงานอื่นนอกเหนือจากการรักษาความปลอดภัย เช่น ฝ่ายกฎหมาย ฝ่ายทรัพยากรบุคคล ฝ่ายไอที และผู้บริหารระดับสูง เพื่อให้ทุกคนทราบบทบาทและความรับผิดชอบของตนเพื่อให้แน่ใจว่าการตอบสนองจะราบรื่นที่สุด
- ใช้แนวทางปฏิบัติในการแยกที่ชัดเจน: วิธีนี้จะหยุดการบุกรุกเพิ่มเติมในเครือข่ายและป้องกันไม่ให้แรนซัมแวร์แพร่กระจายไปยังอุปกรณ์อื่น ทีมรักษาความปลอดภัยควรมีความเชี่ยวชาญในเรื่องต่างๆ เช่น การยกเลิกการเชื่อมต่อโฮสต์ การล็อกบัญชีที่ถูกบุกรุก และการบล็อกโดเมนที่เป็นอันตราย
- พิจารณาการล็อคบัญชีที่สำคัญเมื่อเป็นไปได้: เส้นทางที่ผู้โจมตีมักใช้ในการแพร่กระจายแรนซัมแวร์ในเครือข่ายคือการยกระดับสิทธิ์ไปยังระดับผู้ดูแลระบบของโดเมน จากนั้นปรับใช้แรนซัมแวร์ ทีมควรสร้างบัญชีฉุกเฉินเท่านั้นที่มีความปลอดภัยสูงในไดเร็กทอรีที่ใช้งานอยู่ ซึ่งจะใช้เฉพาะเมื่อบัญชีปฏิบัติการอื่นๆ ถูกปิดใช้งานชั่วคราวเพื่อเป็นการป้องกันไว้ก่อนหรือไม่สามารถเข้าถึงได้ระหว่างการโจมตีของแรนซัมแวร์
- ปรับใช้ EDR บนเอ็นด์พอยต์ทั้งหมด: การตรวจจับและตอบสนองเอนด์พอยต์ (EDR) ยังคงเป็นวิธีที่รวดเร็วที่สุดสำหรับธุรกิจภาครัฐและเอกชนในการแก้ปัญหาการระบาดของแรนซัมแวร์
เกี่ยวกับ Cyberreason
Cybereason เป็นบริษัท XDR ที่ร่วมมือกับ Defenders เพื่อยุติการโจมตีที่ปลายทาง ในระบบคลาวด์ และทั่วทั้งระบบนิเวศขององค์กร เฉพาะแพลตฟอร์ม Cybereason Defense Platform ที่ขับเคลื่อนด้วย AI เท่านั้นที่ให้การนำเข้าข้อมูลในระดับดาวเคราะห์ การตรวจจับ MalOp™ ที่เน้นการทำงานเป็นหลัก และการตอบสนองเชิงคาดการณ์ที่ไม่พ่ายแพ้ต่อแรนซัมแวร์สมัยใหม่และเทคนิคการโจมตีขั้นสูง Cybereason เป็นบริษัทเอกชนระหว่างประเทศที่มีสำนักงานใหญ่ในบอสตัน โดยมีลูกค้าในกว่า 40 ประเทศ
รายละเอียดเพิ่มเติม: https://www.cybereason.com/
ติดตามเรา: บล็อก | Twitter | Facebook
ติดต่อสื่อ:
บิล คีเลอร์
ผู้อำนวยการอาวุโสฝ่ายประชาสัมพันธ์ระดับโลก
Cybereason
bill.keeler@cybereason.com
+1 (929) 259-3261
แชร์บทความเกี่ยวกับโซเชียลมีเดียหรืออีเมล:
- blockchain
- เหรียญอัจฉริยะ
- รักษาความปลอดภัยคอมพิวเตอร์
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล