Sophos cung cấp 5 điềm báo về cuộc tấn công Ransomware

Các nhà nghiên cứu an ninh của Sophos đã đưa ra bản báo cáo cung cấp 5 đầu mối cho thấy khả năng mạng của bạn đã bị nhiễm mã độc đòi tiền chuộc
Các nhà nghiên cứu an ninh của Sophos đã đưa ra bản báo cáo cung cấp 5 đầu mối cho thấy khả năng mạng của bạn đã bị nhiễm mã độc đòi tiền chuộc . Họ đã phân tích những dữ liệu thu thập được cho thấy đôi khi đó là những hành xử bất thường có thể không liên quan tới mã độc nhưng có thể là những dấu hiệu ban đầu mà kẻ tấn công đang thu thập thông tin máy nạn nhân .

Công cụ quét mạng , nhất là trên máy chủ

Những kẻ tấn công thông thường bắt đầu bằng cách giành quyền truy cập tới máy tính để tìm kiếm thông tin như máy Mac hay Windows , tên miền và tên công ty gì , quyền quản trị như thế nào … Tiếp theo chúng sẽ muốn biết mạng của nạn nhân là gì và truy cập như thế nào . Cách dễ nhất để xác định là quét mạng . Nêu có một công cụ quét mạng như AngryIP hoặc Port Scanner thì bạn nên hỏi nhà quản trị và nếu không ai cài đặt và sử dụng nó thì bạn phải cảnh giác rồi đấy .

Những công cụ vô hiệu hóa phần mềm bảo vệ

Ngay khi kẻ tấn công đã có quyền quản trị chúng sẽ tìm cách vô hiệu hóa phần mềm bảo vệ bằng những ứng dụng được tạo ra để gỡ bỏ phần mềm như Process Hacker , IOBit Uninstaller , GMER và PC Hunter .Những phần mềm thương mại trên thường hợp lệ nhưng với tin tặc lại là công cụ tốt . Vì thế những nhà quản trị cần phải đặt câu hỏi nếu như các phần mềm trên đột nhiên xuất hiện trên hệ thống của mình .

Sự xuất hiện của MimiKatz

Bất kì có sự xuất hiện của MimiKatz là bạn phải điều tra ngay lập tức . Nếu không có ai là người quản trị dùng MimiKatz thì đó là dấu hiệu chắc chắn nguy hiểm bởi vì đó là một trong những công cụ mà tin tặc hay sử dụng để đánh cắp thonog tin đăng nhập . Tin tặc cũng dùng Microsoft Process Explorer , có trong Windows Sysinternals , là công cụ hợp lệ để kết xuất LSASS.exe từ bộ nhớ , tạo ra file .DMP . Và từ đó dùng MimiKatz để lấy được tên đăng nhập và mất khẩu trên máy tính nạn nhân .

Các dạng hành vi đáng ngờ

Mọi điều xảy ra hàng ngày ở cùng một thời gian  , hoặc những hành vi lặp đi lặp lại cho thấy điều gì đó đang diễn ra ngay cả khi phát hiện ra những file độc hại và đã gỡ bỏ . Các chuyên gia an ninh cần phải trả lời câu hỏi “ tại sao cái gì đó lại quay trở lại “ . Và có điều gì đó độc hại đang diễn ra mà chưa được xác định ở thời điểm hiện tại .

Tấn công thăm dò

Đôi khi tin tặc sẽ thử nghiệm cuộc tấn công nhỏ trên một vài máy tính để đánh giá Ransomware thực hiện có thành công không hoặc có bị phần mềm chống bảo vệ ngăn chặn hay không . Nếu các công cụ an ninh chặn được cuộc tấn công thì tin tặc sẽ thay đổi chiến thuật khác và sẽ chạy thử lại lần nữa . Cuộc tấn công thăm dò thường sẽ xuất hiện trước vài giờ trước khi tin tặc phát động cuộc tấn công lớn hơn .
 

Bệnh viện máy tính INFOCOM – HH2A phòng 424 khu đô thị Linh Đàm – 090.429.4334
Sửa máy tính khu HH , sửa máy tính Linh Đàm – 090.460.6766