HOR 與傳統勒索軟件的不同之處在於,它針對的是系統中由人類手動發現的特定弱點。一個示例是在您的環境中使用提升的服務。微軟表示,HOR 在攻擊的每個階段都涉及到人為參與,系統缺陷或人為錯誤可以被利用來提升權限,獲得對更敏感數據的訪問權限,並最終獲得更大的回報。使 HOR 更加危險的是,攻擊者通常即使在付款後也不會離開網絡。他們一直試圖通過部署新的惡意軟件來通過訪問獲利,直到它們被徹底清除。
微軟強調,RaaS 最近開始傾向於雙重勒索模式,在這種模式下,您的數據不僅被加密,而且攻擊者還威脅要在您付款之前將其公開。該公司還指出,HOR 活動通常利用遺留配置和錯誤配置以及糟糕的憑證衛生來提升他們的特權。因此,組織中的安全專家需要轉向零信任模型,在這種模型中,他們不僅要查找單個警報,還要對整個安全狀況和事件有一個整體的看法。
Microsoft還提醒組織注意以下描述的 RaaS 合作夥伴模型:
過去,我們觀察到在單個勒索軟件菌株的每次活動中,初始滲透向量、工具和勒索軟件有效負載選擇之間存在密切關係。RaaS 合作夥伴模式允許更多犯罪分子(無論其技術專長如何)部署由其他人創建或管理的勒索軟件,這削弱了這種聯繫。隨著勒索軟件部署成為一種經濟,將特定攻擊中使用的技能歸因於勒索軟件有效負載開發人員變得越來越困難。
[…] RaaS 是運營商和附屬公司之間的協議。RaaS 運營商開發和維護支持勒索軟件操作的工具,包括生成勒索軟件有效載荷的鏈接器和與受害者聯繫的支付門戶。
[…] 這樣,RaaS 創建了單一類型的有效載荷或活動,它是一個勒索軟件系列或一組攻擊者。然而,實際情況是,RaaS 運營商將訪問勒索軟件有效載荷和解密器的權限出售給執行入侵和權限提升並負責部署實際勒索軟件有效載荷的附屬機構。然後各方分享利潤。此外,開發人員和 RaaS 運營商還可以使用該有效負載牟利,將其出售,並與其他勒索軟件有效負載一起運行他們的活動,這進一步混淆了追踪這些活動背後的犯罪分子的情況。
為了應對這些日益增長和復雜的威脅,Microsoft建議組織轉向零信任模型、創建憑證衛生、審核憑證公開、在雲中強化、優先部署 Active Directory 更新、減少攻擊面、緩解安全盲點、加強邊界,尤其是面向互聯網的資源。最後,他還鼓勵客戶使用Microsoft 365 Defender 統一調查和跨域可見性來檢測和主動響應威脅。微軟計劃在 5 月 12 日的微軟會議安全峰會數字活動上更多地談論這個方向,你可以在這裡註冊。
發佈留言