Här är ett dussintal sätt för IT-teams av alla storlekar att inrätta automatiserade varningar för att upptäcka ransomware-attacker innan det är för sent.
Det är galet att tänka sig att det i maj var fem år sedan WannaCry-utbrottet bidrog till att göra ransomware till ett känt namn. På många sätt känns det som om det var en livstid sedan (eller längre). Exempel: Jämfört med de skrämmande siffrorna i dagens rapporter kan vissa av de utpressningsrelaterade siffrorna från 2017 verka pittoreska.
- Under andra kvartalet 2017 låg det genomsnittliga beräknade kravet på lösensumma på mellan 501 och 2 000 dollar. Enligt Coveware var den genomsnittliga lösensummanför första kvartalet 2022 211 529 dollar.
- År 2017 uppskattade Cybersecurity Ventures att den totala kostnaden för skador orsakade av utpressningsvirus skulle uppgå till 5 miljarder dollar för året. I deras senaste rapport beräknas de totala kostnaderna för 2021 nå upp till 20 miljarder dollar.
Mycket har uppenbarligen förändrats, och med miljarder dollar på spel är det en kraftig underdrift att säga att dagens utpressningsverksamhet har mognat och utvecklats.
Som säkerhetsforskaren Kevin Beaumont uttrycker det i ett blogginlägg som alla borde läsa:
”En ransomware-grupp som fick 40 miljoner dollar för att attackera ett försäkringsbolag för cybersäkerhet ger angriparna mer budget för att genomföra cyberattacker än vad de flesta medelstora och stora organisationer har för att försvara sig mot attacker totalt sett. Och det är bara en attack, från en grupp, som knappt kom upp på de flesta människors nyhetsradar.”
– Kevin Beaumont, ”The Hard Truth about Ransomware”
Det är en allvarlig bedömning, men innan vi börjar längta tillbaka till de ”enklare” dagarna 2017 är det också värt att tänka på att även om vi har sett saker och ting förändras under de senaste fem åren, finns det också en hel del som inte har förändrats.
Ja, ekosystemet för cyberbrottslighet har exploderat kring ransomware, och visst har angreppsgrupper samlat på sig enorma krigskassor för att köpa zero-days och lansera bug bounty-program. Men sanningen är att trots allt detta arbetar majoriteten fortfarande med lågt hängande frukter. Varför ska du vara så sofistikerad och fin när du ändå kan fånga många människor i sömnen med det enklaste av allt?
- Colonial Pipeline? Hackad via ett inaktivt konto utan MFA.
- Irländska hälso- och sjukvårdstjänster? Skadligt Excel-dokument.
- LockBit Ransomware-gängets fem månaders tillgång till en amerikansk myndighet? Exponerad RDP.
- Den 50 miljoner dollar stora ransomware-attacken mot PC-jätten Acer? Sårbarhet i Microsoft Exchange som inte har åtgärdats.
Ja, det är svårt för dagens organisationer att förebygga, men det har det alltid varit, och jag är inte helt övertygad om att det är exponentiellt svårare idag än för fem år sedan. Sanningen är att starka grunder och grundläggande skydd av enheter kan hjälpa små och medelstora företag en bra bit på väg.
Men det här inlägget handlar om upptäckt, eller hur? Nåväl, samma sak gäller även i detta fall. De flesta organisationer kommer fortfarande att behöva dedikerade resurser (interna eller outsourcade) för att implementera och aktivt övervaka de upptäcktsmöjligheter som vi kommer att ta upp här, men inträdesbarriären är inte nödvändigtvis så hög som vissa säkerhetsleverantörer vill få dig att tro.
Ett exempel på detta: Nedan följer 12 bra, grundläggande idéer för upptäckt som kan ge resultat utan att kosta en förmögenhet.
Låt oss gå in på dem.
Hur man upptäcker ransomware (eller ännu bättre, när)
Till att börja med kan vi komma överens om att det är en omöjlig uppgift att försöka upptäcka ransomware-attacker efter utförandet (utförbara utpressningsvirus som aktivt körs och krypterar data). Några av de mest utbredda varianterna av ransomware kan kryptera 100 000 filer på mindre än fem minuter.
Försök att upptäcka och reagera på plötsliga massförändringar av filnamn etc. är ofta lite för sent.
AV / EDR är uppenbarligen utformade för att blockera exekverbara ransomware, men detektions- och blockeringsfrekvensen är inte perfekt, och även om de lyckas blockera en exekverbar fil så löser det inte problemet att angriparna har fått tillgång till den. Om de misslyckas en gång försöker de igen.
Det är också vanligt att angripare använder verktyg och spelböcker som är utformade för att få utökade privilegier så att de kan inaktivera säkerhetsverktyg (och säkerhetskopior).
Därför är det bästa tillfället att upptäcka och avbryta attacker tidigt, helst när du har att göra med ofta automatiserade försök att landa och etablera sig på dina system. Det är mycket lättare att kväva angreppen i sin linda än att ta itu med nästa steg, när du har att göra med en mänsklig hackare som arbetar med en beprövad spelbok och många verktyg som är utformade för att hjälpa dem att snabbt kartlägga ditt nätverk och ta det i besittning helt och hållet.
Så när vi talar om att upptäcka ransomware är det kanske bättre att fråga: ”Hur upptäcker vi de tidiga varningssignalerna för en kompromiss som snabbt kan leda till ransomware?”
Och betoningen ligger väldigt mycket på ”snabbt” Rapporter visar att ransomware kan spridas från den första åtkomsten till dagar eller till och med bara timmar senare. Se DFIR-rapportens uppdelningar av ”IcedID to XingLocker ransomware in 24 hours” och ”Netwalker Ransomware in 1 Hour”
Med så lite tid för att identifiera hotet och reagera är det viktigt att ha verktyg och erfarna experter som aktivt övervakar systemen och är redo att reagera (helst med hjälp av automatisering).
Okej, så vad är tidiga varningssignaler för ransomware och goda möjligheter till upptäckt?
Den goda nyheten är att även om det finns en mängd olika angreppsgrupper och varianter, så använder de flesta fortfarande gemensamma playbooks och verktyg. Tack vare det arbete som forskare som The DFIR Report och andra utfört kan försvarare lära sig de vanligaste TTP:erna och bygga upp detekteringsmekanismer därefter.
Nedan följer en lista över upptäcktsmöjligheter som är kopplade till vanliga angreppsmönster för ransomware (en stor inspiration från DFIR Report’s 2021 Year in Review). Listan är inte heltäckande, men den bör ge dig en bra vägledning för att komma igång.
Om du använder en lösning för hantering av endpoints eller enfjärrhanteringslösning som NinjaOne kan du skapa övervaknings- och varningsvillkor för många av dessa upptäckter som du sedan enkelt kan distribuera till alla enheter, vilket gör att du och ditt team slipper manuellt arbete. Du kan också bygga upp automatiska åtgärder som du vill att varningar ska utlösa, till exempel automatisk ominstallation/omstart av AV/EDR-processer om de identifieras som saknade/avaktiverade.
Om du vill ta allt detta ett steg längre har folket på The DFIR Report också delat med sig av en massa extremt användbara Sigma-regler som du kan använda med Chainsaw, ett gratis verktyg med öppen källkod från F-Secure Labs som erbjuder ett snabbt sätt att kamma igenom händelseloggar och upptäcka misstänkta tecken på en attack.
Typer av utpressningstekniker och hur man identifierar dem – möjligheter till upptäckt per angreppsstadium
Första tillträde
Rapporter om misstänkt e-post från slutanvändare: De får inte samma rubriker som nolldagssårbarheter, men vanliga skadliga e-postmeddelanden som är utformade för att lura användare att ladda ner och köra skadlig kod fortsätter att vara en av de vanligaste initiala angreppsmetoderna. Varför? För att de fortfarande fungerar.
- Hur man upptäcker misstänkta e-postmeddelanden: Det är viktigt att organisationer ger sina anställda utbildning i säkerhetsmedvetenhet, men också att skapa en kultur där de uppmuntras och belönas för att rapportera misstänkt e-post och potentiella misstag utan att behöva vara rädda för att straffas.
Misstänkta RDP-anslutningar: Exponerad RDP är en annan angreppsmetod som vissa IT- och säkerhetsansvariga kanske rullar med ögonen åt, men den fortsätter att vara en av de främsta punkterna för inledande intrång i samband med ransomware.
- Hur man upptäcker misstänkta RDP-anslutningar: I det här inlägget från NCCGroup beskrivs hur du fångar logghändelser med låg ljudnivå relaterade till försök och lyckade RDP-sessioner. Det här skriptet från PowerShell-experten Kelvin Tegelaar går vidare genom att dokumentera om olika fjärråtkomstverktyg är installerade (Remote Desktop, Teamviewer, Connectwise ScreenConnect med fler) och loggar det när anslutningen lyckas.
Uthållighet
Misstänkt skapande av schemalagda arbetsuppgifter: Ett av de vanligaste sätten för angripare att få en långvarig närvaro i ett system.
- Hur man upptäcker misstänkt skapande av schemalagda arbetsuppgifter: Övervaka och varna för detta genom att spåra Windows Event IDs 4698 och 4700 eller genom att använda Kelvin Tegelaars PowerShell-skript här.
Oväntad programvara för fjärråtkomst: En annan taktik som har blivit allt vanligare är att angriparna installerar programvara från tredje part, till exempel AnyDesk (den i särklass mest populära), Atera, TeamViewer och Splashtop.
- Hur man upptäcker oväntad programvara för fjärråtkomst: Dessa är populära verktyg bland IT-partners, men om du INTE använder några av dessa är det en bra idé att regelbundet övervaka och flagga för deras närvaro. Även här kan Kelvins skript användas (se kommentaren från Luke Whitlock för en ändring som övervakar AnyDesk).
Dessutom kan du övervaka Windows Event ID 7045.
Upptrappning av privilegier / tillgång till autentiseringsuppgifter
Extrahering av autentiseringsuppgifter från Windows Local Security Authority Subsystem (LSASS): Det finns andra sätt för angripare att skrapa autentiseringsuppgifter, men detta är ett av de absolut vanligaste sätten.
- Hur man upptäcker LSASS-missbruk: Ett bra sätt att övervaka eller blockera försök att stjäla autentiseringsuppgifter från LSASS är att utnyttja Microsofts regler för minskning av attackytan (ASR ) (Windows 10 build 1709 / Windows Server build 1809 eller högre krävs): Andra ASR-regler är också utmärkta för att blockera en mängd vanliga försök att köra skadlig kod och få initial åtkomst (t.ex. blockera Office-program från att skapa underprocesser, blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll osv.). Se det här inlägget från Palantirs säkerhetsteam som delar sin bedömning av ASR-reglernas inverkan och rekommenderade inställningar.Många EDR-verktyg erbjuder också liknande blockerings- och detektionsfunktioner för att skydda LSASS.
Försvar undvikande
Inaktivera/avinstallera antivirus och andra säkerhetsverktyg: Varför ska du försöka ta dig förbi säkerhetsverktygen när du helt enkelt kan stänga av dem?
- Hur man upptäcker manipulering av antivirusprogram: Kolla in detta manuskript från Kelvin Tegelaar, eller, om du har en, dra nytta av din RMM för att regelbundet meddela om säkerhetsverktygen är installerade och/eller körs.
Upptäckande
Oväntad användning av verktyg för portscanning och nätverksidentifiering: När ett strandhuvud väl har etablerats måste angriparna se sig omkring för att se var de har landat och identifiera de bästa möjligheterna till sidoförflyttning. Många kommer att använda sig av inbyggda Windows-verktyg som nltest.exe, ipconfig, whoami etc. samt ADFind. Andra använder verktyg för portscanning som Advanced IP Scanner.
- Hur man upptäcker misstänkta portscanners och spaningsverktyg: Om du inte använder verktygen regelbundet kan du, precis som med fjärråtkomstverktyg, testa att övervaka dem och skapa varningar och automatiseringsregler för att proaktivt blockera dem.
Sidoförflyttning
Misstänkt användning av Cobalt Strike: Cobalt Strike är en ”programvara för simulering av motståndare” som tyvärr har blivit lika populär bland angripare som den var för den avsedda målgruppen penetrationstestare. Det gör det otroligt lätt att utföra en mängd olika taktiker efter exploateringen och dyker regelbundet upp som ett missbrukat verktyg i incidenter med ransomware.
- Hur man upptäcker Cobalt Strike: Många EDR-verktyg och säkerhetsforskare har sina webbplatser för att upptäcka Cobalt Strike-användning. Här finns en stor samling resurser som kan hjälpa dig att göra detsamma.
Oväntad programvara för fjärråtkomst: Se avsnittet om fjärråtkomst i avsnittet ”Persistens” ovan.
Misstänkta fjärråtkomstanslutningar: Det kan handla om användning av RDP, SMB, VNC med mera
- Hur man upptäcker misstänkta fjärråtkomstanslutningar: Se den här listan med övervakningsidéer från MITRE (t.ex. skapande av nätverksanslutningar, åtkomst till nätverksandelar etc.) och gå ner till delteknikerna för att få specifika uppgifter om missbruk av RDP, SMB, VNC, SSH etc.
Misstänkt användning av PsExec: PsExec är ett annat inbyggt Microsoft-verktyg som angriparna har börjat missbruka. Det gör det möjligt att utföra kommandon eller skript på distans som SYSTEM.
- Hur man upptäcker PsExec-missbruk: Vår Kelvin har också ett manus för detta (för det är klart att han har det). Du kan också hitta ytterligare Windows Event IDs och ändringar i registret som du kan övervaka här.
Exfiltrering av data
Misstänkta utgående anslutningar och trafikspikar: För att få större inflytande över offren blir det allt vanligare att angriparna inte bara krypterar data utan också exfiltrerar dem först. Det ger dem ytterligare ett hot om att sälja uppgifterna eller lägga ut dem på nätet
- Hur man upptäcker dataexfiltration: Indikatorer på potentiell dataexfiltration kan vara stora toppar i utgående trafik, oväntade anslutningar till offentliga IP-adresser, ovanligt använda portar, stora volymer av DNS-frågor, misstänkta filändelser för källfiler (.rar, .7z, .zip, etc.), med mera. Nätverksövervakning och brandväggsregler kan täcka upp för det mesta här. Fler idéer finns i avsnittet ”Exfiltration” i MITRE ATT&CK.
Missbruk av inbyggda verktyg och verktyg för filöverföring med öppen källkod: Angripare älskar att använda legitima verktyg som kan hjälpa dem att smälta in i mängden. När det gäller dataexfiltrering ingår Microsoft BITS, curl.exe, Rclone, Mega (MegaSync och MegaCmd) med flera.
- Hur man upptäcker misstänkt användning av filöverföring: Angripare kan göra sig besväret att byta namn på dessa program, men vissa gör det helt enkelt inte, så en bra utgångspunkt är att blockera och/eller övervaka och varna för deras användning. För mer avancerade idéer för upptäckt av granulärt material, se följande: detecting Rclone, detecting Mega and Rclone, och MITRE ATT&CK ID T1197.
Lägg till ett lager av ransomware-upptäckning som är hanterbart och skalbart
Att aktivt övervaka och varna för den här typen av aktiviteter kan vara en utmaning för organisationer som inte har en kunnig och utbildad dedikerad resurs. I många fall kan det vara en bra lösning att samarbeta med rätt experter på entreprenad
För fler exempel på automatiseringar som IT-teams kan utnyttja med Ninja, se ”What Should You Be Monitoring with Your RMM? 28 Recommendations.”
NinjaOne samarbetar också med Bitdefender för att tillhandahålla en integrerad anti-ransomware-lösning som en del av vår enhetliga plattform för IT-hantering. Genom att inkludera Ninja + Bitdefender GravityZone + Ninja Data Protection hjälper NinjaOne Protect-paketet till att förebygga, upptäcka och reagera på ransomware-attacker, vilket potentiellt kan minska den skadliga inverkan på ditt företag.
Starta en gratis provperiod med NinjaOne Protect idag.