По данным Bleeping Computer, в дикой природе был обнаружен новый вымогатель под названием LooCipher. https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/ Обычно это влияет на пользователей через спам. Ничего не подозревающие пользователи открывают фишинговое письмо, нажимают на ссылку, разрешают файлу использовать макросы и в конечном итоге устанавливают вредоносный файл.
В 2011 году Lockheed Martin приписывают идею убийственной цепи кибербезопасности. Цепочка уничтожения кибербезопасности, как задумано, систематизирует угрозы по категориям, а также меры безопасности, которые могут быть развернуты в этих категориях для снижения этих рисков. Если мы применим kill-chain к программе-вымогателю Loocipher, мы увидим следующее:
- Фишинговое письмо в категории доставки должно было быть обнаружено коммерческими инструментами защиты электронной почты.
- Файл-дроппер (Info_BSV_2019.docm) в категории доставки должен был быть обнаружен вредоносными программами, а также другими антивирусными инструментами. Обратите внимание, что в этом случае конечный пользователь должен разрешить запуск макроса. Осведомленность пользователей по-прежнему важна для защиты от атак такого типа!
- После включения макросов вредоносная программа обращается к серверу TOR для загрузки другого файла (http://hcwyo5rfapkytajg.onion.pet/3agpke31mk.exe). В этом случае это также должно было быть обнаружено в системе управления и контроля. как категория доставки. Эти категории обычно защищаются инструментами информации об угрозах, инструментами вредоносного ПО и инструментами для хоста.
- Наконец, будет создан новый файл (c2056.ini) и начнется процесс шифрования файла. Это создание файла и последующее шифрование должны быть отнесены к категории действий и кражи и защищены такими инструментами, как информация об угрозах, обнаружение аномалий процессов, брандмауэры и вредоносные инструменты.
Что не было учтено в цепочке кибер-убийств, так это прогресс машинного обучения и искусственного интеллекта. Применение этих инструментов к данным в каждой категории цепочки уничтожения улучшает нашу способность улавливать аномальное поведение в каждой категории, а также улучшает смягчение в каждой категории за счет корреляции обнаружений.
Starlight стремится использовать нашу единую платформу аналитики безопасности для обнаружения, предупреждения и реагирования на эти типы поведения. Наш всеобъемлющий сбор данных в сочетании с расширенной обработкой данных и машинным обучением дает нам несколько областей, в которых мы можем обнаруживать эти типы атак в кибер-цепочке убийств. Если атака пропущена на одном этапе цепочки убийств, мы поймем ее на другом этапе. После обнаружения мы можем принять автоматические меры против такого аномального поведения. Применяя нашу технологию к программе-вымогателю Loocipher, мы потенциально можем обнаружить и смягчить ее следующими способами:
- Наше обнаружение фишинга оценит вредоносный URL и снизит его риск.
- Упомянутый выше дроппер-файл был бы оценен нашим вредоносным инструментом и устранен.
- Если бы файл-дроппер прошел проверку на наличие вредоносного ПО, датчик сервера обнаружил бы изменение поведения (т. Е. Появление нового процесса с новым подключением к серверу TOR).
- Если файл-дроппер прошел оценку датчика вредоносного ПО и сервера, вызов TOR-сервера мог быть смягчен на сетевом уровне. Платформа Starlight должна была сигнализировать сетевым брандмауэрам о блокировке целевого сервера.
- Загрузка нового файла (http://hcwyo5rfapkytajg.onion.pet/3agpke31mk.exe) могла быть обнаружена и устранена датчиком сервера или оценкой вредоносного ПО.
- Наконец, процесс шифрования будет обнаружен серверным датчиком, и будут применены методы смягчения, чтобы предотвратить / остановить продолжение процесса.
Программы-вымогатели - это огромная индустрия. Резервное копирование необходимо, но не менее важна и глубокая защита. Если вы не защищаете свою среду на различных этапах цепочки уничтожения, вам следует подумать об этом. Если вам сложно реализовать эти концепции из-за того, что у вас слишком много инструментов, которые не взаимодействуют друг с другом, позвоните нам. Мы можем помочь!
