Spydfiskeangrep Stoppet av Absec MDR

Spydfiskeangrep Stoppet av Absec MDR

av | mai 8, 2025 | Cyberangrep, IT-sikkerhet

Spydfiskeangrep illustrasjon: Åpen laptop med bilde på skjermen som viser et fiskesnøre med en fiskekrok som fanger en åpen e-postkonvolutt med skrevne ark.

Illustrasjon av et spydfiskeangrep: En fiskekrok fanger en e-post på en laptop-skjerm.

En grundig gjennomgang av et nylig forsøk på spydfiskeangrep

I desember ble en av våre MDR-kunder målrettet av en spydfiskeangrep.

Populære taktikker i spydfiskeangrep

Kampanjen brukte mange taktikker som er populære akkurat nå og som dessverre fortsatt er vellykkede. E-poster ble sendt til mange mottakere på tvers av organisasjonen i flere forskjellige avdelinger. E-postene inneholdt Microsoft Word-vedlegg med uskyldige navn som «Bio.doc» og «CRTechnical.doc». E-postene var enkle og inneholdt få detaljer.

Viktigheten av å være forsiktig med makroer

Når brukerne åpnet vedlegget, ble de bedt om å aktivere makroer. Generelt, hvis du noen gang mottar et Microsoft Office-dokument og når du åpner det, blir bedt om å aktivere makroer…STOPP! Før du gjør noe annet med dokumentet, kontakt avsenderen av dokumentet og:

  • Bekreft at avsenderen faktisk sendte deg dokumentet; hvis du ikke kjenner avsenderen, rapporter eller send e-posten til din bedrifts sikkerhets- eller IT-avdeling.
  • Bekreft at avsenderen sendte deg et dokument med innebygde makroer. Hvis de ikke gjorde det eller ikke engang vet hva en makro er, rapporter eller send e-posten til din bedrifts cybersikkerhets- eller IT-avdeling.

Når en bruker aktiverer en slik makro, gir de filen tillatelse til å kjøre eller utføre kode. Den koden kan inneholde alle typer skjulte skadelige instruksjoner og kan se slik ut:

Analyse av spydfiskeangrep

I dette spydfiskeangrepet, ved å aktivere makroen, ga brukerne filen tillatelse til å kjøre PowerShell. Mens PowerShell er et veldig kraftig Microsoft Windows-verktøy som har mange uskyldige og nyttige formål, er det også et av hackernes mest nyttige og tungt brukte verktøy.

Her tok dette tradisjonelle spydfiskeangrep en interessant vending. Når PowerShell-verktøyet startes, krever det vanligvis input som forteller det hva det skal gjøre. Denne inputen kan være en skriptinputfil (ofte med filendelsen .ps eller .ps1), eller det kan være en faktisk liste med kommandoer som sendes direkte til PowerShell.

Her er PowerShell-kommandoen som denne spesifikke malware forsøkte å starte:

Ser det mistenkelig ut? Det burde – det er gibberish! Men hvordan kan vi forstå dette? For et trent øye – eller en av våre dyktige Absec SOC-analytikere – skiller visse mønstre seg ut. For eksempel: denne kommandoargumentet bruker en skjulteknikk som leser argumenter i revers.

Dekryptering av kommandoen

Nå som vi har en følelse av hva dette er, la oss se om vi kan «løse» det. Ved å kjøre det gjennom et reverseringsverktøy som rev i Mac OSX eller Linux eller via en nettside som Codebeautify, får vi følgende output. Nå begynner vi å komme et sted!

Undersøkelse av IP-adressen

Neste, våre MDR-analytikere undersøkte denne IP-adressen og fant ut at den pekte til en server i Russland. Vårt trussel-forsknings-team kunne fastslå at den endelige nyttelasten var Ursnif-trojaneren som brukte forskjellige første trinns teknikker som omgått e-postsikkerhet og hadde lave VirusTotal-deteksjoner på tidspunktet for kampanjen.

Oppsummering av spydfiskeangrep

La oss oppsummere høydepunktene av dette angrepet:

  • Mistenkelig e-post -> Sjekk
  • Microsoft-vedlegg -> Sjekk
  • Må aktivere makro -> Sjekk
  • PowerShell startet -> Sjekk
  • Skjulte kommandolinje-argumenter eller merkelige skriptfiler -> Sjekk
  • Ekstern filforespørsel -> Sjekk
  • Game Over? -> Heldigvis ikke for vår kunde som brukte Absec’s MDR-tjeneste

Interessert i hvordan du kan beskytte din egen infrastruktur mot avansert malware og ondsinnede cyberaktører? Kontakt oss nedenfor for å se hvordan Absec’s Managed Detection and Response (MDR) tjeneste kan hjelpe med å sikre din organisasjon på mindre enn en time!

Identitetsbasert Cybersikkerhet for SMB

Identitetsbasert Cybersikkerhet for SMB

av | mar 27, 2025 | Cyberangrep, Identitets- og Tilgangsstyring (IAM)

Illustrasjon som viser viktigheten av identitet i cybersikkerhet, med teksten 'Effektiv identitetsbasert cybersikkerhet for SMB'.

Illustrasjon som fremhever viktigheten av identitet i cybersikkerhet.

Identitetsbasert Cybersikkerhet for SMB

Identitetsbasert Cybersikkerhet for SMB med datainnbrudd, ransomware og sofistikerte angrep fortsetter å øke. Små og mellomstore bedrifter trenger effektive løsninger for identitetsbasert cybersikkerhet for å beskytte seg mot disse truslene. Tjenester. Cybersikkerhetsprofesjonelle må forbedre sine strategier og finne flere måter å sikre beskyttelse på. Tradisjonelle forsvar som brannmurer og nettverksovervåking forblir avgjørende. Ett element har blitt hovedfokuset i cybersikkerhet—identitet.

Identitet er nøkkelen til kontekstuell cybersikkerhet

Historisk sett fokuserte cybersikkerhet på å forsvare perimetere—sikre nettverk og enheter innenfor en organisasjon. Skytjenester, fjernarbeid og digital transformasjon har utvidet tilgangspunktene. Det har blitt viktigere å beskytte hvem som har tilgang enn bare å sikre fysiske grenser. Identitet er det eneste som beveger seg på tvers av ulike komponenter i et miljø. Dette gjør det til den hellige gral for trusselaktører.

Å vite hvem som forsøker å få tilgang har blitt grunnlaget for moderne sikkerhetsbeslutninger. Verifisering av identitet sikrer at kun autoriserte brukere interagerer med sensitive systemer. Når en trussel oppstår, gir denne konteksten raskere og mer presise responser.

Prioritering av trusler med identitetsbasert cybersikkerhet

Identiteten bak en trussel hjelper med å prioritere dens alvorlighetsgrad. En administrator som får tilgang til kritiske systemer etter arbeidstid er langt mer bekymringsfullt enn en lavnivåansatt som sjekker e-post. Uten å vite hvem som er involvert, ville det å svare på en sikkerhetshendelse være som å etterforske et bankran uten beskrivelsen av mistenkte. Ved å forstå hvem som har tilgang og om de skal ha tilgang, kan sikkerhetsteam raskt vurdere trusselens natur. Dette gjør etterforskningen mer effektiv og forbedrer nøyaktigheten av hendelsesresponsen.

For eksempel, å vite hvem som står bak unormal påloggingsaktivitet hjelper med å avgjøre om det er et tilfelle av kompromitterte legitimasjoner eller en autorisert bruker i en annen tidssone. Denne identitetsbaserte konteksten tillater mer målrettet og effektivt forsvar. Det minimerer risiko og reduserer responstider.

Lærdommer om identitet fra andre yrker

Identitetsbasert Cybersikkerhet for SMB spiller en kritisk rolle ikke bare i cybersikkerhet, men i mange andre yrker. Her er to viktige sammenligninger som fremhever viktigheten av å vite hvem i kritiske beslutningsprosesser:

Helsevesen: Å vite hvem er nøkkelen til å gi riktig behandling

I helsevesenet er identitet alt. Før de foreskriver behandling eller utfører kirurgi, må helsepersonell vite nøyaktig hvem pasienten er. En feil diagnose, forvekslet identitet eller en feil medisinsk journal kan føre til katastrofale utfall. Akkurat som hvordan en kompromittert identitet i cybersikkerhet kan føre til datainnbrudd eller uautorisert tilgang til kritiske systemer.

Akkurat som helsepersonell verifiserer pasientens identitet for å sikre at riktig behandling gis, må cybersikkerhetsteam validere hvem som har tilgang til systemer for å gi riktig nivå av sikkerhetsrespons. En feil i helsevesenet kan føre til pasientskade. En feil i å gjenkjenne ondsinnede identiteter i cybersikkerhet kan resultere i katastrofalt datatap eller økonomisk skade.

Bankvirksomhet: Identitet er grunnlaget for finansielle transaksjoner

I finansverdenen er det viktigst hvem som står bak en transaksjon. Banker og finansinstitusjoner stoler på å verifisere kundens identitet før de godkjenner transaksjoner med høy verdi. Hvis en bedrager lykkes med å anta en annen persons identitet, kan de tømme kontoer, stjele personlig informasjon eller begå svindel. Dette skjer altfor ofte.

På samme måte, i cybersikkerhet, hjelper det å vite hvem som står bak tilgangsforespørsler med å forhindre uautoriserte brukere fra å utnytte stjålne legitimasjoner eller sosial manipulasjon. Akkurat som banker krever flerfaktorautentisering (MFA) og andre identitetskontroller for å verifisere legitimiteten til en transaksjon, må bedrifter bruke robuste identitetsverifiseringsmetoder. Dette inkluderer flerfaktorautentisering (MFA) og rollebasert tilgangskontroll (RBAC). Det sikrer at kun de rette personene har tilgang til sensitive data.

Identitetens rolle i skysikkerhet

Etter hvert som flere organisasjoner flytter sine operasjoner til skyen, blir viktigheten av identitetsbasert cybersikkerhet for SMB enda mer uttalt. I skymiljøer er det ingen fysisk perimeter å forsvare. Det eneste kontrollpunktet er hvem som har tilgang til hvilke ressurser. Dette er hvor løsninger som Absec’s Cloud and Identity Response (Identitetsrespons) kommer inn i bildet.

Absec’s Identitetsrespons-funksjon tar identitetsovervåking til neste nivå ved å:

  • Sporing av brukeradferd: Kontinuerlig overvåke hvem som har tilgang til hva i skyen, og oppdage uvanlig adferd som tilgang fra uvanlige steder eller tider.
  • Reagere i sanntid: Når en identitetsbasert trussel oppdages, reagerer Absec’s Sikkerhetsoperasjonssenter (SOC) umiddelbart. De isolerer kompromitterte kontoer og forhindrer videre tilgang.
  • Gi kontekst: Ved å fokusere på identitet gir Absec den konteksten som trengs for å ta raskere, mer informerte sikkerhetsbeslutninger. Dette sikrer at bedrifter ligger i forkant av trusler.

Konklusjon: Identitet er nøkkelen til kontekstuell cybersikkerhet

I dag er identitet ikke lenger en sekundær bekymring. Det er grunnlaget for en effektiv, proaktiv sikkerhetsstrategi. Ved å fokusere på hvem som har tilgang til systemene dine, kan du prioritere trusler, redusere falske positiver og sikre at kun autoriserte individer har tilgang til dine mest sensitive data.

Akkurat som andre bransjer som helsevesen og bankvirksomhet er avhengige av å vite hvem som er involvert for å ta kritiske beslutninger, må cybersikkerhetsprofesjonelle omfavne identitetsbasert cybersikkerhet for SMB som hjørnesteinen i deres forsvar. Med løsninger som Absec’s Cloud & Identitetsrespons kan organisasjoner ta kontroll over sin sikkerhet. De kan sikre at de ikke bare vet hvem som har tilgang til systemene deres, men at de kan reagere raskt og nøyaktig når noe går galt.

Løsepengevirus er nådeløst: Hva du kan gjøre for å beskytte deg?

Løsepengevirus er nådeløst: Hva du kan gjøre for å beskytte deg?

av | okt 24, 2024 | Cyberangrep, IT-sikkerhet

Løsepengevirus er nådeløst: Hva du kan gjøre for å beskytte deg?

Løsepengevirus er nådeløst: Hva du kan gjøre for å beskytte deg?

Ikke bare er løsepengevirus på vei oppover, men denne typen skadelig programvare blir også mer sofistikert og profesjonalisert, noe som er en grunn til bekymring for både organisasjoner og brukere.

En fersk studie oppdaget mer enn 500 datainnbrudd. Dette er en økning på 150 % fra samme måned i 2022 Denne økningen kan skyldes flere faktorer, men hovedårsaken er at skadelig programvare har blitt mer sofistikert. Løsepengevirus kan ta i bruk forskjellige stiler og former. De sikter på å finne smutthull og bryte seg raskt inn i sikkerhetssystemer. Dens evne til å diversifisere og handle umiddelbart betyr at det blir vanskeligere og vanskeligere å dempe effektene. I følge vår Internet Security Report, i Q2 i år, til tross for at det rapporterte en nedgang på 21 % i endepunktangrep, har det vært en økning i andre mer sofistikerte malware-modeller som Cl0p, SpyEye og Zbot.

Vi vet at en rekke forskjellige ransomware-grupper lanserer hyppigere trusler. Nettkriminelle grupper har nylig utnyttet løsepengevirus for å angripe VMWare ESXi-servere. (hypervisor for distribusjon av virtuelle datamaskiner). For eksempel automatiserte trusselaktørene bak ESXiArgs ransomware angrepene sine på disse systemene, og Dark Angels Team har fanget oppmerksomheten til forskere da de brukte en ESXi-kryptering av ransomware-gruppen Ragnar Locker med angrepet på Johnson Controls. De fleste ESXi ransomware-krypteringsprogrammer lånte kode fra Babuk ransomware, som lekket for noen år siden. Denne bølgen av angrep illustrerer hvordan dagens ransomware-syndikater tilpasser seg for å unngå forsvaret som implementeres av organisasjoner.

En annen trend er økningen i tilfeller der hackere hopper over filkryptering og bare stjeler data. Flere og flere ransomware-gjenger truer med å lekke sensitive data, noe som øker innsatsen gjennom trusselen om dobbel utpressing. Analyse viser 72 % vekst i denne typen angrep etter fremveksten av 13 nye nettkriminalitetssyndikater som fokuserer på denne typen angrep.

Hva kan vi gjøre for å beskytte oss mot løsepengevirus?

Forebygging av løsepengevirus

Forebygging er en av de mest effektive måtene å beskytte oss mot løsepengevirusangrep på. Her er noen grunnleggende forholdsregler du bør ta:

Implementer e-postsikkerhetstiltak

Ee-post er et av de viktigste inngangspunktene for løsepengevirus. Å distribuere et pålitelig trusseldeteksjonssystem er en god start for å beskytte systemer.

Dekrypter trafikk ved nettverksperimeteren

Vi anbefaler å dekryptere trafikk på grunn av veksten i distribusjonen av skadelig programvare gjennom krypterte kanaler.

Sikkerhetskopier

Sikkerhetskopiering av systemer og data på forskjellige servere og nettverk regelmessig bidrar til å bekjempe doble utpressingsangrep. Sikkerhetskopier som er lagret på et eget nettverk eller offline, forhindrer kryptert skadelig programvare i å ødelegge sikkerhetssikkerhetskopier i tilfelle et angrep på det opprinnelige systemet.

Hold programvaren oppdatert

I henhold til vår ISR retter de fleste angrep seg mot utdaterte systemer. Å sikre at alle cybersikkerhetssystemer er oppdatert er avgjørende for å unngå hull i cybersikkerhetsprotokoller.

Lær opp dine ansatte

Ansvaret for effektiv angrepsforebygging ligger ofte hos brukerne; Teknikker som phishing er utelukkende rettet mot denne gruppen. Ansatte må vite hvordan de kan gjenkjenne og beskytte seg mot potensielle angrep gjennom interaktiv og praktisk opplæring.

Identifiser områdene dine med Internett-eksponering og relaterte risikoer

Overvåking av nettverksporter og potensialet for dataeksponering for trusselaktører er en prioritet.

Distribuer nulltillitsteknologi (Zero-Trust)

Dette er avgjørende for å styrke endepunktsikkerheten ettersom nulltillit skaper policybaserte kontroller for å sikre sikker tilgang mens du vurderer potensielle sikkerhetsbrudd. Å innta denne holdningen er avgjørende for alle cybersikkerhetssystemer i dag.

Kort sagt, det er mange måter å avverge ransomware-angrep på. Å ta i bruk en tilnærming som forener ulike cybersikkerhetsløsninger hjelper deg med å oppnå omfattende og reell beskyttelse. For eksempel XDR-teknologi det mulig for organisasjoner å konsolidere og forene cybersikkerhetsprotokollene sine gjennom datainnsamling og overvåking av potensielle trusler. XDR er også et effektivt verktøy for å forsvare endepunkter mot nettverkseksponering, som forårsaker 3 % av angrepene, ifølge dataene våre. Distribusjon av denne teknologien hjelper deg med å forhindre sikkerhetsbrudd og beskytte enhetene dine.

Les mer XDR