David Barton, Chief Information Security Officer, bringt mehr als 20 Jahre Erfahrung in Führungspositionen im Bereich Sicherheit in einer Vielzahl von Branchen mit, darunter Telekommunikation, Gesundheitswesen, Softwareentwicklung, Finanzen und Regierung. Vor Stellar Cyber war er Chief Operating Officer bei 5Iron. Vor 5Iron war er drei Jahre als Chief Information Security Officer für Forcepoint verantwortlich für die Sicherung der Informationen und physischen Vermögenswerte von Forcepoint auf globaler Ebene. Barton hat drei Jahre lang das internationale Sicherheitsteam von Hireright aufgebaut und geleitet, um seine Kundendaten und sein geistiges Eigentum zu schützen. Zuvor war er fast acht Jahre lang als Direktor für Informationssicherheit bei AT & T / Cingular in Atlanta, Georgia, tätig, wo er Anstrengungen zum Schutz von über 80 Millionen Mobilfunkkunden leitete. Als Gruppenleiter für Sicherheitsoperationen und -engineering bei Sprint / Nextel leitete er alle Sicherheitsaktivitäten für die Anwendungsentwicklung, die Datenbankarchitektur sowie die Einhaltung von Unternehmensrichtlinien und -prüfungen und baute ein erstklassiges White-Hat-Sicherheitsteam auf. Barton hat einen Executive MBA von der University of Missouri, Kansas City, einen BS in Managementinformationssystemen vom Simpson College und eine CISSP-Zertifizierung.Laut Bleeping Computer hat Labyrinth-Ransomware ein sehr großes IT-Dienstleistungsunternehmen getroffen. https://www.bleepingcomputer.com/news/security/it-services-giant-cognizant-suffers-maze-ransomware-cyber-attack/?fbclid=IwAR3-qjIf_1ca2PA6L83YKxDAIqxF20DgxkSKQgy5SrqC_-kwJ2bZvnjf-2k.
In der Vergangenheit hat diese Malware mithilfe verschiedener Techniken Einzug gehalten: Ausnutzen von Kits über Drive-by-Downloads, Remotedesktopverbindungen (RDP) mit schwachen Kennwörtern, E-Mail-Identitätswechsel und E-Mail-Spam. In den meisten Fällen, in denen die Phishing-E-Mail zugestellt wird, klickt der Benutzer auf den Link, erteilt dann die Makroberechtigung zum Ausführen und installiert schließlich die schädliche Datei. Nach der Installation beginnt die Labyrinth-Ransomware, kritische Daten auf dem infizierten Computer zu verschlüsseln. Während der Verschlüsselung ausgeführt wird, filtert die Ransomware die Daten auch auf einen Server im Internet. Wenn beide Prozesse abgeschlossen sind, wird dem Benutzer eine Lösegeldforderung und eine Methode zur Wiederherstellung seiner verschlüsselten Daten angezeigt.
Im Jahr 2011 wurde Lockheed Martin die Idee einer Cyber-Sicherheits-Kill-Kette zugeschrieben. Die entworfene Cyber-Sicherheits-Kill-Chain organisiert Bedrohungen in Kategorien sowie Sicherheitskontrollen, die in diesen Kategorien eingesetzt werden können, um diese Risiken zu minimieren. Wenn wir die Kill-Kette auf die Maze-Ransomware anwenden, sehen wir Folgendes:
- Die Phishing-E-Mail in der Zustellungskategorie sollte von kommerziellen E-Mail-Schutz-Tools abgefangen worden sein.
- Die Malware-Dateien (kepstl32.dll, memes.tmp und maze.dll) in der Übermittlungskategorie sollten von Malware-Tools sowie anderen AV-Tools abgefangen worden sein. Beachten Sie, dass der Endbenutzer in diesem Fall die Ausführung der Makros zulassen musste. Das Bewusstsein der Benutzer ist immer noch wichtig, um sich gegen diese Art von Angriffen zu verteidigen!
- Sobald die Makros aktiviert wurden, erreicht die Malware einen Dateiserver und lädt zusätzliche Malware herunter. Dies sollte sowohl im Befehl und in der Steuerung als auch in der Lieferkategorie festgestellt worden sein. Diese Kategorien werden normalerweise von Bedrohungs-Intel-Tools, Malware-Tools und Host-basierten Tools verteidigt.
- Neue Dateien werden erstellt und der Dateiverschlüsselungsprozess beginnt. Diese Dateierstellung und anschließende Verschlüsselung sollte in der Kategorie Aktionen und Exfiltration erfasst und durch Tools wie Bedrohungsinformationen, Erkennung von Prozessanomalien, Firewalls und Malware-Tools geschützt werden.
Was in der Cyber-Kill-Kette nicht berücksichtigt wurde, war der Fortschritt des maschinellen Lernens und der KI. Die Anwendung dieser Tools auf die Daten in jeder Kategorie der Kill-Kette verbessert unsere Fähigkeit, das anomale Verhalten in jeder Kategorie zu erfassen, und verbessert die Abschwächung in jeder Kategorie durch Korrelation der Erkennungen.
Stellar Cyber ist bestrebt, unsere Open XDR-Plattform zu nutzen, um diese Verhaltensweisen zu erkennen, zu alarmieren und darauf zu reagieren. Unsere umfassende Datenerfassung in Verbindung mit fortschrittlichem Datenhandling und maschinellem Lernen bietet uns mehrere Bereiche, in denen wir diese Art von Angriffen in der gesamten Cyber-Kill-Kette erkennen können. Wenn der Angriff in einer Phase der Kill-Kette verpasst wird, werden wir ihn in einer anderen Phase fangen. Sobald wir erkannt haben, können wir automatisierte Maßnahmen gegen diese anomalen Verhaltensweisen ergreifen. Wenn wir unsere Technologie auf die Maze-Ransomware anwenden, können wir sie möglicherweise auf folgende Weise erkennen und abschwächen:
- Unsere Phishing-Erkennung würde die schädliche URL bewerten und ihr Risiko verringern.
- RDP-Verbindungen werden ausgewertet, alarmiert und automatisch verringert, wenn anomale Anmeldungen auftreten.
- Die oben genannten Malware-Dateien wurden von unserem Malware-Tool ausgewertet und gemindert.
- Wenn diese Dateien den Malware-Test bestanden hätten, hätte der Serversensor die Verhaltensänderung abgefangen (dh ein neuer Prozess, der mit einer neuen Verbindung zum Internet-Dateiserver ausgelöst wurde).
- Wenn die Dropper-Datei die Bewertung des Malware- und Serversensors bestanden hat, könnte der Aufruf des Internet-Dateiservers auf Netzwerkebene verringert worden sein. Die Stellar Cyber-Plattform hätte den Netzwerk-Firewalls signalisiert, einen Block für den Zielserver zu implementieren.
- Die neuen Dateidownloads wurden möglicherweise beim Serversensor oder bei der Bewertung von Malware abgefangen und verringert.
- Der Verschlüsselungsprozess wird vom Serversensor erkannt und es werden Schadensbegrenzungstechniken angewendet, um zu verhindern, dass der Prozess fortgesetzt wird.
- Schließlich würde der Exfiltrationsprozess von der Netzwerkschicht, dem Hostsensor und der Bedrohungsinformation erkannt.
Ransomware ist eine riesige Branche. Backups und Patches sind unerlässlich, aber auch eine gründliche Verteidigung. Wenn Sie Ihre Umgebung in den verschiedenen Phasen der Kill-Kette nicht schützen, sollten Sie dies in Betracht ziehen. Wenn Sie Schwierigkeiten haben, diese Konzepte umzusetzen, weil Sie zu viele Tools haben, die nicht zusammenarbeiten, rufen Sie uns an. Wir können helfen!
