L'attaque JBS Ransomware met en évidence la nécessité d'une détection précoce et d'une réponse rapide

Au cours des deux derniers mois, les cybercriminels ont ciblé des organisations essentielles à notre chaîne d'approvisionnement. La plus récente de ces attaques a été dirigée contre JBSla plus grande entreprise de transformation de viande au monde.

L'attaque contre JBS a été causée par l'exécution d'un logiciel de rançon dans son environnement réseau et a été attribuée au REvil, alias la famille de logiciels malveillants Sodinokibi. Le ransomware REvil a la capacité de faire plus que simplement chiffrer des fichiers, il peut également désactiver l'antivirus, supprimer les sauvegardes de machines et surveiller et tuer d'autres processus qui pourraient tenter de l'arrêter. Ce ransomware a toujours été livré par des e-mails de spear phishing, en exploitant le protocole RDP (Remote Desktop Protocol) exposé à Internet, en utilisant des informations d'identification volées ou en profitant d'anciennes vulnérabilités exposées à Internet.

Campagnes de ransomware modernes, comme celles qui ont affecté JBS. et Colonial Pipeline, se trouvent à l'intérieur du réseau cible bien avant que le ransomware ne soit déployé. En règle générale, les attaquants se déplacent latéralement sur le réseau, volent des données et des informations d'identification, déploient des outils supplémentaires, puis exécutent Ransomware comme étape finale de l'attaque.

Une fenêtre d'opportunité : comment OpenText MDR a empêché une attaque de ransomware

Le L'équipe OpenText™ Managed Detection & Response (MDR) a stoppé une attaque similaire sur ses traces lors d'un récent engagement client. L'attaque a été détectée au début de la cyber kill-chain avant que les attaquants aient la possibilité d'exécuter le composant Ransomware de l'attaque.

OpenText MDR utilise des filtres propriétaires, basés sur les tactiques, techniques et procédures (TTP) que nos consultants ont vues à travers des milliers d'engagements. Une détection déclenchée sur un comportement anormal du compte utilisateur dans l'heure suivant le déploiement. Immédiatement, les analystes d'OpenText MDR ont demandé au client de désactiver le compte pendant qu'ils commençaient à enquêter à distance sur l'intrusion.

Notre enquête a rapidement déterminé que le compte était utilisé pour établir l'accès de commande et de contrôle requis pour lancer une attaque de ransomware.[19659002]Avec le compte compromis désactivé et les « crochets » de l'attaquant corrigés à partir des points de terminaison affectés, OpenText MDR a pu empêcher les attaquants de prendre la position nécessaire pour lancer une attaque de ransomware.

Alors que nos analystes MDR ont détecté cette attaque très tôt dans la cyber kill-chain, OpenText MDR aurait alerté sur plusieurs phases de l'attaque, notamment :

• Le vecteur d'infection initial (IIV) – exploitation ou mauvaises pratiques de sécurité (pas de correctifs pour les systèmes, RDP exposé à Internet), e-mail de phishing , etc.
• Comportement anormal associé aux comptes d'utilisateurs légitimes, comme dans l'attaque Colonial Pipeline où un nom d'utilisateur et un mot de passe légitimes ont été utilisés pour accéder ss le VPN.
• Techniques de persistance
• Elévation des privilèges de compte
• Mouvement latéral
• Exfiltration de données

Services gérés ou Do-It-Yourself, nous sommes là pour vous aider

Pour les organisations qui ont l'expertise de détection et de réponse de leur équipe, EnCase Endpoint Security peut offrir les mêmes avantages que notre service MDR. EnCase Endpoint Security comprend plus de 250 règles basées sur le TTP, et d'autres sont ajoutées chaque trimestre.

EnCase Endpoint Security permet de surveiller les activités suspectes au niveau du point de terminaison et peut être configuré pour isoler une machine du réseau au premier signe d'un l'attaquant y accède — avant l'exécution du malware. Les TTP EnCase Endpoint Security auraient détecté l'exécution de macros malveillantes dans un document Office, les communications C2, la ligne de commande suspecte et l'activité PowerShell, l'activité WMI suspecte, et plus encore. ou des solutions EDR, les organisations doivent prendre plusieurs mesures pour atténuer le risque d'une attaque réussie par un ransomware. Les exemples incluent :

• S'assurer que tous les systèmes et applications sont mis à jour et corrigés
• Effectuer des analyses de vulnérabilité internes et externes régulières pour atténuer les risques pour le réseau
• Surveiller les e-mails entrants pour les pièces jointes suspectes
• Évaluer l'efficacité de votre programme de sauvegarde et de récupération, y compris tous les systèmes et données critiques
• Interdire l'exécution de macros sur les machines des utilisateurs à moins qu'il n'y ait un besoin très spécifique et approuvé pour eux
• Mandat une formation annuelle de sensibilisation à la sécurité pour tous les employés

Pour en savoir plus sur comment OpenText peut vous aider à vous préparer et à détecter la prochaine attaque de ransomware avant qu'elle ne frappe, veuillez nous contacter à l'adresse https://www.opentext.com/products-and-solutions/products/security#form.[19659028]

Source link