防范TA505 (CL0P)勒索软件的对策

帕特里克·巴内特
作者: 帕特里克·巴内特, CISA, CISM, CEH, CISSP, PCI QSA, PCIP
发表日期: 2024年1月2日

俄罗斯威胁组织TA505, 是哪家公司运作CL0P勒索软件, 在2014年演变为一个多产的零日漏洞, 勒索软件即服务(老城)组织.1 TA505主要针对银行、医疗保健和金融组织. 它是最大的网络钓鱼、鱼叉式网络钓鱼和恶意垃圾邮件2 全球经销商. 该威胁组织还操作一个初始访问代理商店(IAB)。, 全球其他想要购买和/或访问被盗凭证的威胁组织使用的是哪一种. iab收集可被其他威胁行为者重用的被盗凭证已成为2023年最大的新趋势之一. 根据许多人的估计,2023年25%的攻击是使用被盗凭证的结果,3 这意味着威胁参与者不需要恶意软件或漏洞就可以渗透到澳门赌场官方下载网络中. 这是一种令人震惊的战术、技术和程序(TTP)新形式。.

TA505已经成为2023年最复杂、最多产的威胁组织之一. 组织可以通过实施旨在减轻风险的对策来保护自己.

TA505和Cl0p勒索软件简介

TA505的ttp相当简单, 但该威胁组织已经从其提供的加密货币支付和服务中收取了数亿美元.4 2023年,TA505等集团的运营方式类似于财富500强澳门赌场官方下载. 这些威胁组织和其他组织一样做决定, 运营上的改变和策略都是基于盈利能力的提高. 他们在研究和发展上花了大量的钱, 确保最好的工具和专业知识来完成手头的任务. 众所周知,TA505也会与附属组织合作,比如在2023年MoveIt被攻破期间,5 为其整体方法带来附加价值,并帮助提高其投资回报率(ROI)。.

TA505网络钓鱼, 鱼叉式网络钓鱼或利用IAB获取被盗凭证, 使用这些凭据或通过说服用户点击网络钓鱼链接来感染计算机, 释放恶意软件的有效负载(例如.g., 钴罢工, Cl0p), 建立命令和控制, 横向移动, 关闭安全应用程序,并使用内部远程桌面协议(RDP)转向其他机器。. 然后,TA505部署勒索软件和各种web shell(例如.g.Lemurloot). 在这一点上,加密和数据泄露发生得非常快. 该组织历来在亚太地区开展活动, 加拿大, 印度和美国.

TA505开发了一个利基市场:发现并利用零日漏洞. 它已经使美国3000多个组织和全球8000多个组织受害.6 TA505窃取了数百万用户的机密数据,并在暗网上出售. TA505还维护博客,提供受害者及其被盗数据的最新信息. 媒体机构经常监控这些博客,以便迅速了解攻击情况.

TA505还经营着一个出售机密数据的暗网市场. 该集团所做的一切都是为了经济利益.

[TA505]所做的一切都是为了经济利益.

2023年6月, 美国国务院宣布悬赏1000万美元,奖励任何提供TA505与外国政府联系信息的人.7 这笔赏金是针对美国关键基础设施的各种勒索软件组织的结果.

充分了解TA505的深度和广度及其影响, 它使用的策略值得研究. TA505攻击http包括:

  • 基于internet的RDP连接,用于渗透澳门赌场官方下载网络
  • 操纵已知的漏洞(其中没有应用补丁)
  • 常用的渗透测试工具如钴罢工
  • 恶意软件工具,如Bart, Locky, Scarab, Philadelphia, Globelmposter, Jaff, GandCrab和Clop
  • 使用从合法软件窃取的私钥,以避免被网络安全应用程序检测
  • 使用被盗凭证(例如从IAB购买的凭证)
  • 老城
  • 银行木马(例如.g.(Dridex, Amadey, Necurs)曾犯下财务欺诈行为
  • 使用活动目录(AD)错误配置和漏洞来横向移动和升级凭据
  • 使用web shell来维持持久性和传播恶意软件
  • 禁用安全工具

如何减少来自TA505(和其他威胁组织)的风险

虽然TA505造成的威胁相当大, 破坏性和多产性, 组织可以部署许多对策来减轻TTPs带来的风险:

  • 禁止任何RDP连接到Internet. 关闭内部所有其他不需要的RDP端口. 不允许从互联网上使用其他远程工具,除非它们是安全的. 定期审计所有远程访问方法和用户. 只允许批准的远程访问解决方案,如虚拟专用网(vpn)和虚拟桌面基础设施(VDI). 阻止网络外围远程访问软件端口上的所有入站和出站连接.
  • 密切监视任何所需远程访问软件的日志.
  • 实施应用程序控制,以管理和控制未批准的软件的执行.
  • 禁用最终用户Windows PowerShell和命令行功能.
  • 确保PowerShell是最新的,并删除任何超过5的版本.0.
  • 确保所有PowerShell日志记录都是健壮的.
  • 进行年度对账. 检查所有网络帐户,确保它们仍然是需要的,并坚持最少特权原则.
  • 通过以下方式降低凭证泄露的风险:
    • 保护域管理员(admin)帐户,防止缓存密码哈希
    • 永远不要在脚本中使用明文凭证
  • 实施一个全面的、不可改变的恢复计划(考虑3-2-1策略)8). 练习和时间的努力恢复.
  • 使用至少8个字符的长密码. 至少需要一个数字和一个特殊字符.
  • 使用一个好的密码管理器.
  • 不允许密码提示.
  • 登录失败3次后锁定帐户.
  • 要求每年更改密码.
  • 不给终端用户管理员权限. 需要管理员访问安装任何软件.
  • 始终使用多因素身份验证(MFA).
  • 把所有东西修补好. 尽快打补丁.
  • 使用网络分段来防止恶意软件的传播或横向移动.
  • 利用下一代反恶意软件工具来保护端点.
  • 利用新一代工具(如.g., 管理检测和响应, 扩展检测和响应[XDR])来摄取所有端点日志并报告事件, 事故和异常.
  • 禁用不必要的端口.
  • 立即调查所有报告的事件.
  • 确保已更新并使用防病毒应用程序.
  • 禁用电子邮件中的超链接.
  • 请确保所有磁盘和备份都已加密.

结论

虽然没有办法完全消除与TA505这样的威胁组织相关的风险, 采用建议的对策可以帮助任何组织大大降低与威胁组相关的风险, iab和老城组织.

尾注

1 加拿大网络安全中心简介:TA505/CL0P勒索软件加拿大政府,2023年7月11日
2 Lenaerts-Bergmans B.; “恶意邮件简介(Malspam)2023年7月19日
3 Secureworks, 2023年威胁状况:一年回顾, 2023
4 同前.
5 网络安全和基础设施安全局。”#StopRansomware: CL0P勒索团伙利用CVE-2023-34362 MOVEit漏洞,美国,2023年6月7日
6 同前.
7 艾布拉姆斯,.; “美国政府悬赏1000万美元获取克洛普勒索软件的信息,《澳门赌场官方下载》,2023年6月17日
8 Castagna R.; “3-2-1备份策略TechTarget。”

帕特里克·巴内特, CISA, CISM, CEH, CISSP, PCI QSA, PCIP

是Secureworks的事件响应首席顾问吗. 他拥有超过30年的网络安全专业经验,专门从事网络工程,专注于安全. 在以前的角色中, 他曾担任首席信息安全官(CISO)和首席信息官(CIO),并曾在一家大型金融澳门赌场官方下载担任副总裁. Barnett热衷于看到网络安全得到正确的处理,并致力于帮助组织制定适当的政策, 响应任何大小的安全事件的过程和机制.

额外的资源