Best Practices zum Verhindern von DarkSide Ransomware
13181
Created On 05/12/21 22:09 PM - Last Modified 03/03/23 02:04 AM
Question
Was ist die DarkSide Ransomware und was sind die besten Maßnahmen zur Risikominderung und Prävention?
Environment
- All PAN-OS
- Anti-Virus-Lizenz
Answer
Was ist DarkSide Ransomware?
DarkSide Ransomware wurde erstmals im August 2020 in russischsprachigen Hacking-Foren gesehen. Es handelt sich um eine Ransomware-as-a-Service-Plattform, die Cyberkriminelle mieten können. DarkSide ist vor allem dafür bekannt, dass es nur große Unternehmen in verschiedenen Branchen anspricht, darunter Gesundheitswesen, Bestattungsunternehmen, Bildung, öffentlicher Sektor und gemeinnützige Organisationen.
Wer ist das neueste Ziel für DarkSide Ransomware?
Colonial Pipeline, erfuhr das Unternehmen am Samstag, 8. Mai, 12.30 PMUhr.
Hier ist der Unternehmensblog: Colonial Pipeline System Disruption
CISA and FBI alert.
Hier ist die von der gesendete WarnungCISA, die die detaillierten Schritte und den Prozess der FBI Risikominderung erläutert.
Die Kill Chain und Bedrohungsakteure.
- Der erste Schritt besteht darin, anfänglichen Zugriff zu erhalten, indem Sie die remote zugänglichen Konten durchsuchen, , VDIRDPund vieles mehr durch Phishing.
- Der zweite Schritt besteht darin, sensible Daten zu verschlüsseln und zu stehlen.
- Die DarkSide Ransomware verwendet Salsa20 und RSA Verschlüsselung. Die Dateierweiterung kann zufällig sein.
- Für die Führung und Kontrolle verwendet der Bedrohungsakteur hauptsächlich "The Onion Router(TOR)", in einigen Fällen haben Bedrohungsakteure auch Cobalt Strike verwendet.
- Die Zahlungsweise ist mit Bitcoin und Moreno Kryptowährungen.
für den Schutz vor Ransomware.
PAN Berichterstattung:
Palo Alto Networks deckt viele DarkSide-bezogene Hashes, URLs und IP Adressen ab. Diese IOCs werden in den Bedrohungspaketen Anti-Virus, Anti-Spyware und URL Filtern bereitgestellt. Zusätzliche Informationen enthalten die aktuelle Abdeckung für die DarkSide-SignaturAV.
Unit
42 Artikel:Hier ist der Unit 42 Artikel.
Minderungsschritte basierend auf Palo Alto Networks Best Practices-Dokumenten und CISA/FBI Empfehlungen:
- In den Blogs von Unit 42 werden die Migrationsschritte ausführlich behandelt.
- Hier ist die Empfehlung für die Best Practices für die PAN Ransomware-Prävention.
- Antivirus-Signatur, stellen Sie sicher, dass alle Protokolle, HTTP2, , POP3 und andere, IMAPauf "reset-both" eingestellt sind.
- Schwachstellen- und Spywaresignaturen mit dem Schweregrad "Hoch" und "Kritisch" auf "Zurücksetzen beide" oder "Löschen" sind eine bewährte Methode.
- Ihre URL Filterung und Einstellung der folgenden Kategorien zum Blockieren: Command and Control, Dynamic DNS, Hacking, High-Risk, Insufficient-Content, Malware, Neu registrierte-Domains, Nicht gelöst, geparkt, Phishing, fragwürdig, unbekannt. Hier finden Sie ein Dokument mit bewährten Methoden.
- SSL Die Entschlüsselung ist eine der Anforderungen für die Erkennung bösartiger Muster, da die meisten unserer Signaturen die http_decoder verwenden, um den Inhalt in der Nutzlast zu überprüfen. Der firewall kann den Datenverkehr (TLS//SSLHTTPS) nur überprüfen und verschlüsseln, wenn er mit dem Entschlüsselungsprofil und policyentschlüsselt wird. Dokumentation zur Konfiguration der Entschlüsselung policy finden Sie hier.
- Dateiblockierungsprofil: Blockieren Sie kennwortgeschützte komprimierte und ZIP-Dateien.
- Der Remote-Zugriff auf OT und IT Netzwerke erfordert eine Multi-Faktor-Authentifizierung.
- Verwenden Sie starke Spam-Filter, um zu verhindern, dass Phishing-E-Mails den Endbenutzer erreichen.
- Kontinuierliche Überwachung und Verbesserung der Sicherheitslage basierend auf Warnungen und Bedrohungsprotokollen.
- Kontinuierliche Schulung IT und Endbenutzer für Social Engineering.
- Netzwerkverkehr:
- IP-Based: Verhindern Sie eingehende und ausgehende Kommunikation mit bekannten schädlichen IP Adressen.
- URL-based: Verhindern Sie, dass Benutzer auf bösartige Websites zugreifen, indem Sie Blocklisten und Zulassungslisten implementieren URL .
- Software-Update: Machen Sie Ihr Software-Update zentralisiert und kontrolliert.
- Risikobasierte Bewertungsstrategie, um zu bestimmen, welche OT Netzwerkressourcen und -zonen am Patch-Management-Programm teilnehmen sollten.
- Limit RDP
- Ressourcenzugriff einschränken
- Einschränken von Zugriffsversuchen auf Ressourcen
- Regelmäßiges Scannen der Ressourcen durch Antivirus/Antimalware.
Additional Information
Hier ist die Liste der bekannten Darkside-Signaturen, diese Liste ist zum Zeitpunkt der Veröffentlichung gültig. PaloAlto Networks behält sich das Recht vor, diese Signaturen aufgrund der Verbreitung in WildFire der Cloud zu ersetzen.
Signature Name UTID
trojan/Win32 EXE.darkside.aa 373806183
trojan/Win32 EXE.darkside.z 407907864
Virus/Linux.WGeneric.bbunth 402945111
Virus/Win32.WGeneric.anajbm 366300777
Virus/Win32.WGeneric.ankojr 369421158
Virus/Win32.WGeneric.anyfxg 373481343
Virus/Win32.WGeneric.aumvzg 387811014
Virus/Win32.WGeneric.awzjiz 391455654
Virus/Win32.WGeneric.axqzpj 392983785
Virus/Win32.WGeneric.bayxfp 400229172
Virus/Win32.WGeneric.bbdzgp 400676694
Virus/Win32.WGeneric.bbdzul 400678365
Virus/Win32.WGeneric.bbeceq 400685469
Virus/Win32.WGeneric.bbfjpf 400838946
Virus/Win32.WGeneric.bcltkq 405810150
Virus/Win32.WGeneric.bdbmwd 407418306
Virus/Win32.WGeneric.bdjddu 408156777
Virus/Win32.WGeneric.bdulsc 409279299