Alt hvad du behøver at vide om fileless Ransomware

Ransomware-markedet har udviklet sig. En ny race af ondsindede agenter er ankommet. Det er præget af stealth og har gjort ofre i mange teleselskaber, offentlige agenturer og bankinstitutioner osv. Disse angreb har fået IT-afdelinger til virksomheder over hele verden til at holde sig opmærksomme. Detaljerede advarsler er blevet udsendt til arbejdstagerne for ikke at åbne vedhæftede e-mail-vedhæftede filer og for at undgå at besøge mistænkelige websteder og apps fra tredjepart. Teknisk kendt som fileless eller malware-fri ransomware er disse værktøjer en stor trussel. De bruger Microsofts PowerShells scriptingsprog til målretning af organisationer, der bruger dokumenter og / eller applikationer, der kører via makroer.

Alt hvad du behøver at vide om fileless Ransomware

Alt hvad du behøver at vide om fileless Ransomware

Hvad er PowerShell?

PowerShell, der er et opgaveautomatiseret programmeringssprog, bruges i MS OS sammen med mere end 100 kommandolinjeværktøjer.

Hvad gør fileless Ransomware for PowerShell?

Ransomware bruger PowerShell-baserede scripts eller makroer til filkryptering. Dette adskiller sig fra traditionel ransomware, der udførte databaseret filkryptering.

En oversigt over filøse angreb

Blandt de største hacks i historien blev begået fileless. I 2016 stjal nogen nogle dokumenter fra Det Demokratiske Nationale Udvalg (DNC), som derefter blev frigivet for at have påvirket præsidentvalget det år. Dette blev gjort gennem phishing-e-mails med kompromitterede links blev leveret til DNC-medarbejderne. Da det blev klikket, sprang angrebet til at arbejde gennem PowerShell og WMI.

Ifølge Charles Gaughf, Security Lead with (ISC) ², en online sikkerheds-NPO, hostes fileless angreb generelt af phishing-links og drive-by-websteder.

Et andet angreb ved hjælp af filøse medier ramte over 140 banker og finansielle organisationer fra mere end 40 lande i starten af ​​2017. Angriberen kom ind i systemet ved hjælp af en server, der var upåagtet.

Derefter indlæste den en kompromiserende kode i hukommelsen ved hjælp af PowerShell-scripts og Windows Registry.

Yderligere fik angribere kontrol over systemerne ved hjælp af standardsystemsværktøjer, der bestod af kommandolinjeværktøjer som NETSH og SC.

Denne fjernadgang gjorde det muligt for dem at opsætte hukommelsesboende ATMitch malware. Dette blev gjort på pengeautomater, som derefter blev beordret til at skubbe deres kontanter ud. Angriberne greb disse kontanter og gik. Da der ikke var nogen filer på nogen systemer, var det at finde overtrædelsen meget vanskeligt.

De to store måder Fileless Ransomware-infiltratsystemer

Ved hjælp af phishing-angreb, der er genereret via e-mails, kan en angriberen script makroer i systemhukommelsen. Dette fører til auto-genererede løsepenge krav og datakryptering.

Den anden måde er gennem usikre websteder, som en arbejdstager har adgang til. Dette lader angribere målrette RAM gennem scripts. Dette giver dem mulighed for at få adgang til information og kræve cryptocurrency-betalinger. Ellers vil deres data blive krypteret og gjort ubrugelige.

Typer af fileless angreb

Der er fire grundlæggende slags fileless ransomware, som du bør kende til:

  • Hukommelses eksklusive angreb: Disse angreb får adgang til Windows-servicehukommelser for at sprede deres rækkevidde. De ankom på markedet allerede i 2001. Imidlertid kan de løses ved at genstarte systemet.
  • Fileless vedholdenhedsteknikker: Sådanne angreb kan ikke ryddes ved en simpel genstart, selvom harddisken ikke er inficeret. Dette gøres ved at bruge Windows Registry til at gemme infektiøse scripts, der genoptager infektionen, selv efter en genstart.
  • Værktøjer til dobbelt brug: Sådanne angreb udføres ved at inficere Windows-systemapps. Dette gøres for at få adgang til målsystemer eller for at overføre data til angribere.
  • Ikke-bærbare eksekverbare (PE) filangreb: Sådanne angreb bruger både værktøjer og scripts til at gøre deres indflydelse gennem PowerShell, CScript eller WScript.

Hvorfor er Ransomware så populær?

Ransomware er let at bruge. Normalt tænker virksomheder ikke to gange, før de betaler en løsepenge i stedet for at risikere datatab eller få dårlig reklame. Fremgangen i cryptocururrency har også forbedret ransomwares levedygtighed. Anonyme betalingsmetoder lader hackere have svært at spore midler til at udtrække penge fra deres ofre. Samtidig kan cryptocurrency-overførsler ikke vendes, og de er således effektive såvel som sikre.

Hvad der gør Fileless Ransomware unik?

Fileless ransomware er unik, da det er svært at opdage. Dette skyldes, at det oprindelige scriptsprog eller RAM-indsprøjtning injiceres med den infektiøse kode. Dette gør det muligt at gemme sig i hukommelsen og køre kommandoer derfra.

Hvad tager fileless Ransomware-angreb ud??

  1. Fileless ransomware er faktisk ikke sporbar, selv med antivirus i kommerciel kvalitet.
  2. Disse angreb giver dit system åbent for cyberkriminelle at udnytte. De kan gøre alle slags ting med dit netværk eller enhed, når de hacker det inklusive datatyveri / kryptering uden at blive opdaget.
  3. De åbner også den kompromitterede enhed for flere angreb. Dette skyldes, at angriberen kan skrive manuskripter, mens han stammer oplysninger fra den kompromitterede enhed.

Beskyt dig selv mod fileless Ransomware

Selvom fileless ransomware effektivt ikke kan påvises af almindelig antivirus-software, er der en række ting, du kan gøre for at forhindre dem. Den første ting at gøre er at sikre, at dine kritiske data ikke får adgang til af nogen. Den anden ting er at sikre dig, at din sårbarhed ved menneskelig fejl ikke udsættes for.

Dette betyder, at dine medarbejdere har brug for at vide om social engineering, og hvordan de kan forhindre dette. Naturligvis kræver du også et opdateret system, der har alle de nylige sikkerhedsrettelser. Der er nogle flere tip og forslag nedenfor for yderligere at forbedre din sikkerhed mod fileless ransomware:

Flere tip

  • Sørg for, at dine data er sikkerhedskopieret: At holde sig beskyttet handler om at være opmærksom på angreb. Du skal sikre dig, at nogen holder styr på dine data og holder de kritiske filer sikkerhedskopieret. Dette gør det muligt for dig at fravælge sådanne angreb ved at få adgang til et gendannelsespunkt, der ikke påvirkes af overtrædelsen.
  • Bliv opmærksom: Sluk for alle makroer. Ellers skal du afstå fra at åbne filer, som du ikke er sikker på. Hvis du er i tvivl, bør du kontakte din IT-administrator.
  • Stop ondsindede e-mails, websider og interaktion gennem browsere og servere. Du skal følge forsigtighed, når du håndterer en potentielt ondsindet e-mail. Bloker blot noget, der ikke synes at være ægte eller endda har den mindste fornemmelse af skygge.  

Med bare en lille forsigtighed kan du forblive beskyttet mod alle slags ransomware – regelmæssig eller fileless.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me