Kaikki mitä sinun tarvitsee tietää Fileless Ransomware -sovelluksesta

Ransomware-markkinat ovat kehittyneet. Uusi rotu haitallisia tekijöitä on saapunut. Sitä leimaa varkain, ja se on saanut uhreja monissa teleyrityksissä, valtion virastoissa ja pankkilaitoksissa jne. Nämä hyökkäykset ovat saaneet yritykset IT-osastot ympäri maailmaa pysymään valppaina. Työntekijöille on annettu yksityiskohtaiset varoitukset, että he eivät avaa suojaamattomia sähköpostiliitteitä ja välttävät epäilyttävien verkkosivustojen ja kolmansien osapuolien sovellusten käyntiä. Nämä työkalut, jotka tunnetaan teknisesti tiedostotöntä tai haittaohjelmatonta ransomware-ohjelmistoa, ovat suuri uhka. He käyttävät Microsoftin PowerShell-skriptikieltä kohdistukseen organisaatioihin, jotka käyttävät makrojen kautta toimivia asiakirjoja ja / tai sovelluksia.


Kaikki mitä sinun tarvitsee tietää Fileless Ransomware -sovelluksesta

Kaikki mitä sinun tarvitsee tietää Fileless Ransomware -sovelluksesta

Mikä on PowerShell?

Tehtäväautomaatioon suuntautunut ohjelmointikieli, PowerShell, käytetään MS OS: ssä yhdessä yli 100 komentorivityökalun kanssa.

Mitä Fileless Ransomware tekee PowerShellille?

Ransomware käyttää tiedostojen salaamiseen PowerShell-pohjaisia ​​skriptejä tai makroja. Tämä eroaa perinteisestä ransomware-ohjelmasta, joka suoritti datapohjaisen tiedostojen salauksen.

Katsaus tiedostoettomiin hyökkäyksiin

Yksi historian suurimmista hakkereista oli tehty tiedostoettomasti. Vuonna 2016 joku varasti joitakin asiakirjoja demokraattiselta kansalliselta komitealta (DNC), jotka sitten vapautettiin vaikuttamaan kyseisen vuoden presidentinvaaleihin. Tämä tehtiin DNC: n työntekijöille lähettämällä tietojenkalastelusähköposteja, joissa oli vaarannettu linkkejä. Napsautuksen jälkeen hyökkäys alkoi toimia PowerShellin ja WMI: n kautta.

Verkkoturvajärjestön (ISC) ²: n tietoturvajohtaja Charles Gaughfin mukaan tiedostoettomia hyökkäyksiä isännöivät yleensä tietojenkalastelulinkit ja ajavat verkkosivustot..

Toinen tiedostoettomia välineitä käyttävä hyökkäys iski yli 140 pankkiin ja rahoitusorganisaatioihin yli 40 maasta vuoden 2017 alussa. Hyökkääjä pääsi järjestelmään käyttämättömän palvelimen avulla.

Sitten se latasi kompromissikoodin muistiin käyttämällä PowerShell-skriptejä ja Windowsin rekisteriä.

Lisäksi hyökkääjät saivat hallinnan järjestelmiin käyttämällä tavallisia järjestelmäapuohjelmia, jotka koostuivat komentorivipalveluista, kuten NETSH ja SC.

Tämän etäkäytön ansiosta he pystyivät asettamaan muistin asuvat ATMitch-haittaohjelmat. Tämä tehtiin pankkiautomaatteissa, jotka käskettiin sitten nostamaan käteisensä. Hyökkääjät tarttuivat tähän käteiseen ja lähtivät. Koska missään järjestelmässä ei ollut tiedostoja, rikkomuksen havaitseminen oli erittäin vaikeaa.

Kaksi suurta tapaa Fileless Ransomware -suodatinjärjestelmät

Hyökkääjä voi skriptittää makroja järjestelmän muistiin käyttämällä sähköpostien kautta generoituja tietojenkalasteluhyökkäyksiä. Tämä johtaa itse tuotettuihin lunastusvaatimuksiin ja tietojen salaukseen.

Toinen tapa on vaarallisten verkkosivustojen kautta, joihin työntekijä pääsee. Tämän avulla hyökkääjät voivat kohdistaa RAM-muistin komentosarjojen kautta. Tämä antaa heille pääsyn tietoihin ja vaatia kriptovaluuttamaksuja. Muuten heidän tiedot salataan ja tehdään käyttökelvottomiksi.

Tiedostotöntä hyökkäyksen tyypit

Tiedostamattomia lunastusohjelmia on neljä perustyyppiä, jotka sinun pitäisi tietää:

  • Muistia sisältävät hyökkäykset: Nämä hyökkäykset käyttävät Windows-palvelumuistoja levittääkseen niiden ulottuvuutta. Ne saapuivat markkinoille jo vuonna 2001. Ne voidaan kuitenkin ratkaista käynnistämällä järjestelmä uudelleen.
  • Fileless-pysyvyystekniikat: Tällaisia ​​hyökkäyksiä ei voi poistaa yksinkertaisella uudelleenkäynnistyksellä, vaikka kiintolevy ei olisi tartunnan saanut. Tämä tehdään käyttämällä Windowsin rekisteriä tarttuvien skriptien tallentamiseen, jotka jatkavat tartuntaa uudelleenkäynnistyksen jälkeen.
  • Tuplakäyttöiset työkalut: Tällaiset hyökkäykset suoritetaan tartuttamalla Windows-järjestelmän sovelluksia. Tämä tehdään pääsyksi kohdejärjestelmiin tai tiedon siirtämiseksi hyökkääjille.
  • Ei-siirrettävät suoritettavat (PE) tiedostohyökkäykset: Tällaiset hyökkäykset käyttävät sekä työkaluja että komentosarjoja saadakseen aikaan vaikutuksensa PowerShellin, CScriptin tai Wcriptin kautta.

Miksi Ransomware on niin suosittu?

Ransomware on helppo käyttää. Yleensä yritykset eivät ajattele kahdesti ennen lunastuksen maksamista sen sijaan, että riskisivät tietojen menetykseen tai huonoon julkisuuteen. Kryptovaluuttojen nousu on myös parantanut lunaohjelmien kannattavuutta. Anonyymien maksutapojen avulla hakkereilla on vaikea jäljittää tapoja kerätä rahaa uhreiltaan. Samaan aikaan kryptovaluutansiirtoja ei voida peruuttaa, joten ne ovat tehokkaita ja turvallisia.

Mikä tekee Fileless Ransomware -sovelluksesta ainutlaatuisen?

Fileless ransomware on ainutlaatuinen, koska sitä on vaikea havaita. Tämä johtuu siitä, että natiiville skriptikielelle tai RAM: lle injektoidaan tarttuva koodi. Tämä antaa sen piiloutua muistiin ja suorittaa komentoja sieltä.

Mitä Fileless Ransomware -hyökkäykset aiheuttavat?

  1. Tiedostoittomat ransomware-ohjelmat eivät ole tehokkaasti jäljitettävissä jopa kaupallisten antivirusten kanssa.
  2. Nämä hyökkäykset antavat järjestelmän auki, jotta verkkorikolliset voivat hyödyntää sitä. He voivat tehdä kaikenlaisia ​​asioita verkon tai laitteen kanssa, kun he hakkeroivat sen, mukaan lukien tietojen varkaudet / salaus ilman, että heitä havaitaan.
  3. Ne myös avaavat vaarantuneen laitteen useille hyökkäyksille. Tämä johtuu siitä, että hyökkääjä voi kirjoittaa skriptejä saadakseen tietoja vaarannetusta laitteesta.

Suojaudu itsesi tiedostoettomalta Ransomware-ohjelmistolta

Huolimatta siitä, että tavallinen virustorjuntaohjelma ei tiedosta tiedostojen lopetusohjelmia, on monia asioita, jotka voit tehdä estääksesi niitä. Ensimmäinen tehtävä on varmistaa, ettei kukaan pääse käyttämään kriittisiä tietojasi. Toinen asia on varmistaa, että inhimillisten virheiden aiheuttamaa haavoittuvuuttasi ei paljasteta.

Tämä tarkoittaa, että työntekijöidesi on tiedettävä sosiaalisuunnittelusta ja kuinka he voivat estää tämän. Tarvitset tietysti myös päivitetyn järjestelmän, jossa on kaikki viimeaikaiset tietoturvakorjaukset. Alla on joitain muita vinkkejä ja ehdotuksia, jotka parantavat tietoturvallisuutesi lopetusohjelmien turvaa entisestään:

Lisää vinkkejä

  • Varmista, että tietosi varmuuskopioidaan: Suojautumisessa on kyse hyökkäyksistä. Sinun tulisi varmistaa, että joku seuraa tietojasi ja pitää tärkeät tiedostot varmuuskopioina. Tämän avulla voit poistaa nämä hyökkäykset avaamalla palautuspisteen, johon rikkomus ei vaikuta.
  • Ole valppaana: Sammuta kaikki makrot. Muutoin pidä avaamasta tiedostoja, joista et ole varma. Jos sinulla on epäilyksiä, ota yhteyttä IT-järjestelmänvalvojaan.
  • Lopeta haitalliset sähköpostit, verkkosivut ja vuorovaikutus selainten ja palvelimien kautta. Sinun tulee noudattaa varovaisuutta käsitellessäsi mahdollisesti haitallisia sähköpostiviestejä. Yksinkertaisesti estä kaikki se, mikä ei näytä olevan aito tai jolla on pienintäkään varjoisuuden tunnetta.  

Vain pienellä varovaisuudella voit pysyä suojassa kaikenlaiselta lunasuojaohjelmistolta – tavalliselta tai tiedostoettomalta.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map