LockBit是一个Ransomware as a Service(RaaS)提供商,负责2023年大多数LockBit勒索软件攻击。LockBit RaaS团队成立于2019年,自那时以来一直对安全专家构成了巨大挑战。最近的报告显示,LockBit在2022年下半年和2023年初的所有勒索软件攻击中占据了三分之一以上的份额。随着LockBit勒索软件的威胁行为者不断升级和加强攻击,它现在已经演变成了最臭名昭著的勒索软件变种之一。
一、未来展望
勒索软件攻击永无止境,RaaS提供商不断升级其恶意软件以满足技术的发展。作为安全专家,您必须保持领先地位,预防此类攻击至关重要。
其中一种解决方案是将MITRE ATT&CK框架与您的组织网络安全框架集成,以映射LockBit等攻击。MITRE ATT&CK是一个知识库,帮助您从攻击者的角度预测攻击。通过了解攻击者的思维方式,您可以预测并阻止潜在的攻击及其后果。您可以在我们的电子书中找到有关MITRE ATT&CK的更多信息。
二、使用MITRE ATT&CK框架映射LockBit攻击场景
- LockBit勒索软件通过钓鱼邮件、对RDP帐户的暴力攻击或利用漏洞的应用程序获取对网络的初始访问权限。
- 然后,它深入渗透到受害者的网络,并准备好使用使用Windows PowerShell或SMB协议进行执行的后渗透工具进行攻击。
- 它部署勒索软件负载并感染第一个主机。这个单个感染的主机通过使用SMB协议向所有受感染的设备共享感染脚本,从而自动将感染传播到多个设备。
- 所有受感染设备上的文件都被加密,并在受害者的受损设备上显示勒索通知。
- 只有使用LockBit的专有解密工具才能解密这些文件。
通过研究LockBit勒索软件的行动线路,CISA联合咨询总结了以下战术和技术在LockBit攻击中最为突出。
三、在的问题是:您如何在组织中实施MITRE ATT&CK框架?
答案在于像ManageEngine Log360这样提供与MITRE ATT&CK框架相关的预定义检测规则、警报和报告的SIEM解决方案。
1) 预定义的MITRE ATT&CK报告:Log360等有效的SIEM解决方案包括针对ATT&CK框架的每个战术的专用报告。这些报告根据每个战术下的不同技术和子技术进一步分类。
2) 预定义的MITRE ATT&CK警报配置文件:Log360包括针对MITRE ATT&CK框架的每个战术的内置警报配置文件。这些警报进一步根据每个战术下的技术进行分类。
3) 预定义的关联规则:此功能允许您通过关联一系列恶意事件和事故来跟踪与MITRE ATT&CK的战术、技术和程序相关的所有事件。
在防御网络攻击方面,您必须保持主动性,面对日益扩大的攻击面和复杂的攻击技术。所以,为什么等呢?注册进行Log360的个性化演示,以了解更多信息。