勒索制造商作者正在寻求新的方式来避免被发现
根据Sophoslabs 2020威胁报告,赎金软件作者正在更改他们的活动,以避免现有的安全控制,甚至适应在监控和管理工具中使用漏洞,并根据Sophoslabs 2020威胁报告。
随着赎金软件,每天都在击中大量目标,其作者致富的潜力从未如此高。
然而,所述Sophos赎金软件有一个Achilles脚后跟 - 加密数据是受害者CPU的处理能力有限的耗时的过程,这意味着勒索制造商必须唤醒优化其攻击并避免检测到避免检测尽可能。
考虑到这一点,Sophos表示,最近几个月的网络罪犯似乎对网络和终点安全产品的检测和阻止恶意活动感兴趣。
许多人也发现通过混淆其代码来改变赎金软件应变的外观更容易,而不是改变其整体行为,因为他们寻求找到避开防御的方法。
观察到的趋势,如编制特定的目标受害者的编译赎金软件,使用唯一的密码保护它,或者将其编码为在定义的时间范围内运行,可以指示妨碍人类分析师自动沙箱分析和手动逆向工程的尝试。
已经看到其他攻击者在远程监控和管理产品中被剥夺了被盗的凭据或漏洞,例如来自Kaseya,ScreenConnect或牛肉的喜欢的产品。
此类解决方案通常通过托管服务提供商(MSP)进行破坏,因为它们通常以升高的权限运行,因此攻击者可以轻松地将Ransomware轻松分配到多个业务网络上一次,后一次受到损害。
其他人已经使用了与认证证书签署了他们的赎金软件,这些证书可以抛出抗辩物,因为它们不太可能像否则一样严格地分析可执行文件。
Sophos CTO Joe Levy说:“每年,犯罪分子适应业内运营商和供应商的最佳防御。与此同时,防守者必须通过不断介绍的新功能保护系统和流程,并在这些系统的操作上进行了不断增加的全局相互依赖性。
“但是你无法捍卫你无法理解的东西。显着性攻击情景并不总是容易,特别是据说由此产生的攻击者和防守者之间的猫和鼠标游戏有助于塑造未来的威胁。
“今年的报告反映了我们现在观察和捍卫的安全领域的更广泛范围,以及对新领域的更广泛的对手。”
年度报告今年的范围扩大了探索Sophos围绕恶意软件和垃圾邮件的历史豪华师的领域。Sophos Principal研究员Andrew Brandt在新出版的博客文章中挑选了该公司在过去的12个月内观察到的其他一些关键趋势。
Brandt表示,2019年已经看到自动积极攻击的崛起 - 内部网络的人为导向妥协,然后使用Windows Network Admin工具在企业网络中分发恶意软件,如Samsam Ransomware攻击所发生的那样。
对Microsoft的远程桌面(RDP)服务及其客户申请的攻击也被观察到攀登,混合蛮力登录攻击和更具针对性的广告系列。
在这种情况下,Sophos留下了公共互联网暴露于公共互联网的Honeypot RDP主机服务器,并在30天期间记录了三百万的尝试登录它们。