Извештај који је објавио Касперски Лабс је недавно бацио светло на актера претње који је користио заједнички систем датотека евиденције (ЦЛФС) за повећање привилегија. Касперски је овај напад приписао групи која је користила више различитих али сличних експлоатација ЦЛФС драјвера који су највероватније од истог програмера.
Анализа компаније Касперски сугерише да је овај експлоат коришћен за избацивање садржаја ХКЕИ_ЛОЦАЛ_МАЦХИНЕСАМ кошнице регистра да би се наставио њихов напад. Након што је открио овај експлоат, Касперски је своју анализу доставио Мицрософт-у на преглед. Мицрософт је брзо реаговао и доделио ЦВЕ-2023-28252 рањивости. Компанија је решила проблем 11. априла 2023, као део њихове априлске закрпе у уторак.
Упркос софистицираности сајбер криминалаца, постоји значајно преклапање између њихових циљева и метода које користе да би их постигли. Овог пута, нападачи су користили раније непознат начин да ескалирају привилегија и изведу ОС Цредентиал Думпинг, добро познату технику коју МИТЕР прати као Т1003.002. Иако је употреба нултог дана увек забрињавајућа, накнадна активност је релативно једноставна за откривање помоћу одговарајућег евидентирања или алата за откривање и одговор крајњих тачака (ЕДР), који тимовима за безбедност може дати критично време које им је потребно да престигну рансомваре напад.
Бинари Дефенсе је компанија која пружа услуге управљаног откривања и одговора како би помогла тимовима да добију витално време у најгорим сценаријима. Њихова понуда услуга је од суштинског значаја, имајући у виду значајан пораст напада рансомваре-а са којима се данас суочавају предузећа и организације.
Извештај компаније Касперски наглашава важност постојања поузданог ЕДР алата за брзо откривање таквих напада. Ови алати омогућавају безбедносним тимовима да открију злонамерне активности, добију упозорења и брзо реагују пре него што нападач може да испоручи свој коначни терет.
Користећи недавно откривени експлоатацију, група криминалаца је недавно користила Нокоиава рансомваре да би искористила рањивост Виндовс нултог дана и погодила неколико организација широм света. Ова група користи исте технике и тактике које су нападачи користили у претходним кампањама, покушавајући да добију приступ мрежама организација тако што маме запослене да кликну на линкове или преузму прилоге из пхисхинг е-порука.
Када нападачи добију почетни приступ, користе ЦЛФС експлоатацију да ескалирају привилегије, крећу се бочно кроз мрежу и примењују рансомваре. Рансомваре је врста злонамерног софтвера који шифрује корисничке датотеке и захтева откуп за враћање приступа. Напади рансомваре-а су често уносни за нападаче и могу озбиљно пореметити пословне операције на дужи период.
Напад ове природе је сценарио ноћне море за сваку организацију и наглашава важност редовне обуке за подизање свести о безбедности, управљања рањивостима и заштите крајњих тачака. Што више организације могу да учине да се заштите, то ће боље бити у идентификовању претњи и реаговању на њих.
У закључку, извештај компаније Касперски наглашава важност постојања поузданог ЕДР алата за брзо откривање ових врста напада. Методе и тактике нападача нису ништа ново, али морају постојати мере безбедности да би се открили и одговорили на ове нападе пре него што постану катастрофални. Са све већом учесталошћу и софистицираношћу напада рансомвера, предузећа и организације морају предузети све неопходне мере да смање ризик да постану жртве сајбер криминалаца.
Serbian 
English 
Albanian 
Croatian 