点击一次渗透42天:Akira勒索软件利用CAPTCHA诱饵摧毁云备份致存储公司瘫痪

💡 原文中文,约1200字,阅读约需3分钟。
📝

内容提要

Unit 42报告指出,一家全球数据存储公司因员工点击恶意CAPTCHA而遭受Akira勒索软件攻击,导致系统瘫痪。攻击者通过伪装的CAPTCHA投递木马SectopRAT,进行了长达42天的渗透,最终删除云备份并实施勒索。尽管公司配备了安全工具,但未能有效监测到攻击。

🎯

关键要点

  • Unit 42报告揭示一家全球数据存储公司因员工点击恶意CAPTCHA遭受Akira勒索软件攻击。

  • 攻击始于员工访问被入侵的汽车经销商网站,点击伪装的机器人验证提示。

  • 恶意软件SectopRAT通过伪装CAPTCHA被投递,攻击者获得初始入侵入口。

  • 攻击持续42天,攻击者建立持久化命令控制后门,渗透多个特权账户。

  • 攻击者删除云存储备份,实施致命打击,导致企业恢复能力丧失。

  • 尽管公司部署了安全工具,但未能有效监测到攻击,安全防护形同虚设。

🔎

延伸解读

社会工程学的威胁

此次攻击展示了社会工程学手段的危险性,攻击者通过伪装的CAPTCHA诱使员工点击,从而实现恶意软件的投递。这提醒企业在员工培训中加强对网络钓鱼和社会工程学攻击的防范意识,提升员工的安全警觉性。

安全工具的局限性

尽管公司部署了企业级的安全工具,但在此次攻击中未能有效监测到恶意活动。这表明,仅依赖技术手段并不足以保障安全,企业还需建立完善的安全响应机制,确保安全团队能够及时响应潜在威胁。

数据备份的重要性

攻击者在实施勒索前删除了云存储的备份,导致企业无法恢复数据。这强调了定期备份和多重备份策略的重要性,企业应确保备份数据的安全性和可恢复性,以应对潜在的勒索软件攻击。

延伸问答

Akira勒索软件是如何通过CAPTCHA进行攻击的?

攻击者通过伪装的CAPTCHA诱使员工点击,从而投递恶意软件SectopRAT,获得初始入侵入口。

这次攻击的持续时间有多长?

此次攻击持续了42天。

攻击者在渗透过程中采取了哪些步骤?

攻击者建立持久化命令控制后门,渗透多个特权账户,并通过RDP、SSH和SMB协议横向移动。

这次攻击对公司的影响是什么?

攻击导致云备份被删除,企业恢复能力丧失,业务全面停摆。

公司在安全防护方面做了哪些准备?

公司部署了两套企业级EDR解决方案,但未能有效监测到攻击。

为何安全工具未能检测到攻击?

尽管安全工具记录了恶意活动,但几乎没有生成警报,导致安全团队未能及时响应。

🏷️

标签

➡️

继续阅读