Allt du behöver veta om fileless Ransomware
Ransomware-marknaden har utvecklats. En ny ras av skadliga ämnen har kommit. Det kännetecknas av stealth och har gjort att offer i många telekomföretag, myndigheter och bankinstitutioner etc. Dessa attacker har fått IT-avdelningar i företag över hela världen att hålla sig vakna. Detaljerade varningar har utfärdats till arbetarna för att inte öppna bifogade e-postbilagor och för att undvika att besöka misstänkta webbplatser och appar från tredje part. Tekniskt känt som fileless eller malware-fri ransomware är dessa verktyg ett stort hot. De använder Microsofts PowerShells skriptspråk för att rikta in sig på organisationer som använder dokument och / eller applikationer som körs via makron.
Allt du behöver veta om fileless Ransomware
Contents
- 1 Vad är PowerShell?
- 2 Vad gör fileless Ransomware för PowerShell?
- 3 En översikt över fillösa attacker
- 4 De två stora sätten Fileless Ransomware-infiltratsystem
- 5 Typer av fillösa attacker
- 6 Varför är Ransomware så populär?
- 7 Vad gör fileless Ransomware unik?
- 8 Vad gör fileless Ransomware Attacks?
- 9 Skydda dig från fileless Ransomware
- 10 Fler tips
Vad är PowerShell?
PowerShell är ett uppdragsautomationsorienterat programmeringsspråk i MS OS tillsammans med mer än 100 kommandoradsverktyg.
Vad gör fileless Ransomware för PowerShell?
Ransomware använder PowerShell-baserade skript eller makron för filkryptering. Detta skiljer sig från traditionell ransomware som utförde databaserad filkryptering.
En översikt över fillösa attacker
Bland historiens största hackor begicks filelessly. 2016 stal någon några dokument från den demokratiska nationella kommittén (DNC) som sedan släpptes för att påverka presidentvalet det året. Detta gjordes genom phishing-e-postmeddelanden med komprometterade länkar som levererades till DNC-arbetarna. När man klickade, sprang attacken för att arbeta genom PowerShell och WMI.
Enligt Charles Gaughf, säkerhetsledningen med (ISC) ², en online-säkerhetsinitiativ, är filelessattacker vanligtvis värd av phishinglänkar och drive-by webbplatser.
En annan attack med fillösa medier träffade över 140 banker och finansiella organisationer från mer än 40 länder i början av 2023. Attackeren kom in i systemet med en server som var oöverträffad.
Sedan laddade den en kompromisskod i minnet med PowerShell-skript och Windows-register.
Ytterligare fick angriparna kontroll över systemen med hjälp av standardsystemverktyg som bestod av kommandoraderverktyg som NETSH och SC.
Denna fjärråtkomst tillät dem att ställa in minnesboende ATMitch-skadlig programvara. Detta gjordes på uttagsautomater som sedan beordrades att skicka ut sina pengar. Angriparna tog tag i dessa pengar och gick. Eftersom det inte fanns några filer på några system, var det mycket svårt att upptäcka överträdelsen.
De två stora sätten Fileless Ransomware-infiltratsystem
Med hjälp av phishing-attacker som genereras via e-post kan en angripare skripta makron till systemminnet. Detta leder till automatiskt genererade lösenkrav och datakryptering.
Det andra sättet är genom osäkra webbplatser som en arbetare har åtkomst till. Detta låter angripare rikta in sig på RAM via skript. Detta gör att de får tillgång till information och kräver cryptocurrency-betalningar. Annars kommer deras data att krypteras och göras värdelösa.
Typer av fillösa attacker
Det finns fyra grundläggande typer av fileless ransomware som du bör känna till:
- Memory-exklusiva attacker: Dessa attacker får åtkomst till Windows-serviceminnen för att sprida räckvidden. De anlände till marknaden redan 2001. De kan dock lösas genom att starta om systemet.
- Fileless uthållighetstekniker: Sådana attacker kan inte rensas med en enkel omstart även om hårddisken inte är infekterad. Detta görs genom att använda Windows-registret för att lagra infektiösa skript som återupptar infektionen även efter en omstart.
- Verktyg för dubbel användning: Sådana attacker utförs genom att infektera Windows-systemappar. Detta görs för att få tillgång till målsystem eller för att överföra data till angripare.
- Icke-portabla körbara (PE) filattacker: Sådana attacker använder både verktyg och skript för att påverka dem genom PowerShell, CScript eller WScript.
Varför är Ransomware så populär?
Ransomware är lätt att använda. Vanligtvis tänker företag inte två gånger innan de betalar en lösning snarare än att riskera dataförlust eller få dålig publicitet. Ökningen av cryptocururrency har också förbättrat ransomwarens livskraft. Anonyma betalningsmetoder låter hackare ha svår att spåra medel för att få ut pengar från sina offer. Samtidigt kan inte överföringar av cryptocurrency överföras och de är såväl effektiva som säkra.
Vad gör fileless Ransomware unik?
Fileless ransomware är unikt eftersom det är svårt att upptäcka. Detta beror på att det ursprungliga skriptspråket eller RAM-skiktet injiceras med den smittsamma koden. Detta låter det gömma sig i minnet och köra kommandon därifrån.
Vad gör fileless Ransomware Attacks?
- Fileless ransomware är effektivt ospårbar även med antivirus av kommersiell kvalitet.
- Dessa attacker lämnar ditt system öppet för cyberbrottslingar att utnyttja. De kan göra alla slags saker med ditt nätverk eller enhet när de hackar det inklusive datastöld / kryptering utan att upptäckas.
- De öppnar också den komprometterade enheten för flera attacker. Detta beror på att angriparen kan skriva skript medan han hämtar information från den komprometterade enheten.
Skydda dig från fileless Ransomware
Trots att fileless ransomware effektivt kan upptäckas av vanligt antivirusprogram, finns det ett antal saker du kan göra för att förhindra dem. Det första du måste göra är att se till att dina kritiska data inte nås av någon. Den andra saken är att se till att din sårbarhet genom mänskliga fel inte utsätts.
Det betyder att dina anställda behöver veta om social teknik och hur de kan förhindra detta. Naturligtvis kommer du också att kräva ett uppdaterat system som har alla de senaste säkerhetsuppdateringarna. Det finns några fler tips och förslag som ges nedan för att ytterligare förbättra din säkerhet från fileless ransomware:
Fler tips
- Se till att dina data säkerhetskopieras: Att hålla sig skyddad handlar om att vara medveten om attacker. Du bör se till att någon håller reda på dina data och håller säkerhetskopierade kritiska filer. Detta gör att du kan avväxla sådana attacker genom att komma åt en återställningspunkt som inte påverkas av överträdelsen.
- Håll vaksam: Stäng av alla makron. I annat fall ska du avstå från att öppna filer som du inte är säker på. Om du har några tvivel bör du kontakta din IT-administratör.
- Stoppa skadliga e-postmeddelanden, webbsidor och interaktion genom webbläsare och servrar. Du bör följa försiktighet när du hanterar ett potentiellt skadligt e-postmeddelande. Blockera helt enkelt allt som inte verkar vara äkta eller till och med har den minsta känslan av skuggighet.
Med bara lite försiktighet kan du hålla dig skyddad från alla typer av ransomware – regelbundet eller fileless.
24.04.2023 @ 23:40
t få tillgång till systemet och sedan sprida sig till andra enheter. De kan också använda systemets egna verktyg för att utföra attacker. PowerShell-baserade attacker: Dessa attacker använder PowerShell-skript för att sprida sig och kryptera filer. De är svåra att upptäcka eftersom de inte lämnar några spår på systemet.
Det är oroande att se hur ransomware-marknaden har utvecklats och hur nya, mer sofistikerade attacker har dykt upp. Det är viktigt att företag och organisationer tar detta hot på allvar och vidtar åtgärder för att skydda sig själva och sina anställda. Det är också viktigt att utbilda anställda om säkerhetsrisker och hur man undviker att bli offer för dessa attacker. Vi måste alla arbeta tillsammans för att bekämpa denna farliga trend.