HOR unterscheidet sich von herkömmlicher Ransomware dadurch, dass es auf spezifische Schwachstellen in Ihrem System abzielt, die manuell von Menschen entdeckt werden. Ein Beispiel ist die Verwendung eines erhöhten Dienstes in Ihrer Umgebung. Laut Microsoft ist HOR in jeder Phase des Angriffs mit menschlicher Beteiligung verbunden, und Systemfehler oder menschliche Fehler können ausgenutzt werden, um Berechtigungen zu erhöhen, Zugang zu sensibleren Daten zu erhalten und letztendlich eine größere Auszahlung zu erzielen. Was HOR noch gefährlicher macht, ist, dass Angreifer das Netzwerk in der Regel auch nach Bezahlung nicht verlassen. Sie versuchen weiterhin, ihren Zugriff zu monetarisieren, indem sie neue Malware einsetzen, bis sie vollständig bereinigt sind.
Microsoft betonte, dass sich RaaS in letzter Zeit zu einem dualen Erpressungsmodell tendiert, bei dem Ihre Daten nicht nur verschlüsselt werden, sondern Angreifer auch damit drohen, sie öffentlich zu machen, bis Sie sie bezahlen. Das Unternehmen stellte außerdem fest, dass HOR-Kampagnen in der Regel veraltete Konfigurationen und Fehlkonfigurationen sowie eine schlechte Anmeldeinformationen-Hygiene ausnutzen, um ihre Privilegien zu erhöhen. Daher müssen Sicherheitsexperten in Organisationen zu einem Zero-Trust-Modell übergehen, bei dem sie nicht nur nach einzelnen Warnungen suchen, sondern auch eine ganzheitliche Sicht auf die gesamte Sicherheitslage und Vorfälle haben.
Microsoft hat Organisationen auch auf das unten beschriebene RaaS-Partnermodell aufmerksam gemacht:
In der Vergangenheit haben wir in jeder Kampagne eines einzelnen Ransomware-Stammes eine enge Beziehung zwischen dem anfänglichen Penetrationsvektor, den Tools und der Auswahl der Ransomware-Payload beobachtet. Das RaaS-Partnermodell, das es mehr Kriminellen ermöglicht, unabhängig von ihrem technischen Know-how, Ransomware einzusetzen, die von jemand anderem erstellt oder verwaltet wird, schwächt diese Verbindung. Da die Bereitstellung von Ransomware zu einer Wirtschaft wird, wird es immer schwieriger, die bei einem bestimmten Angriff verwendeten Fähigkeiten den Entwicklern von Ransomware-Payloads zuzuschreiben.
[…] RaaS ist eine Vereinbarung zwischen einem Betreiber und einem verbundenen Unternehmen. Der RaaS-Betreiber entwickelt und wartet Tools zur Unterstützung von Ransomware-Operationen, darunter Linker, die Ransomware-Payloads und Zahlungsportale generieren, um sich mit Opfern zu verbinden.
[…] Auf diese Weise erstellt RaaS eine einzelne Art von Payload oder Kampagne, die eine einzelne Ransomware-Familie oder eine Gruppe von Angreifern darstellt. Was jedoch passiert, ist, dass der RaaS-Betreiber den Zugriff auf die Ransomware-Nutzlast und den Entschlüsseler an ein verbundenes Unternehmen verkauft, das das Eindringen und die Rechteeskalation durchführt und für die Bereitstellung der eigentlichen Ransomware-Nutzlast verantwortlich ist. Die Parteien teilen sich dann die Gewinne. Darüber hinaus können Entwickler und RaaS-Betreiber die Payload auch gewinnbringend nutzen, verkaufen und ihre Kampagnen mit anderen Ransomware-Payloads durchführen, was die Situation bei der Verfolgung der Kriminellen hinter diesen Aktivitäten weiter verwirrend macht.
Um diese wachsenden und ausgeklügelten Bedrohungen zu bekämpfen , empfiehlt Microsoft Unternehmen, auf ein Zero-Trust-Modell umzusteigen, Anmeldeinformationen zu erstellen, die Offenlegung von Anmeldeinformationen zu prüfen, in der Cloud zu härten, die Bereitstellung von Active Directory-Updates zu priorisieren, die Angriffsfläche zu reduzieren, Sicherheitslücken zu mindern, und Perimeter stärken, insbesondere Ressourcen mit Internetzugriff. Schließlich ermutigte er Kunden auch, Microsoft 365 Defender Unified Investigation und domänenübergreifende Sichtbarkeit zu verwenden, um Bedrohungen zu erkennen und proaktiv darauf zu reagieren. Microsoft plant, auf der digitalen Veranstaltung Microsoft Conference Security Summit am 12. Mai mehr über diese Richtung zu sprechen . Sie können sich hier dafür anmelden .
Schreibe einen Kommentar