Одной из наиболее распространенных угроз сегодня, с которой сталкиваются как организации, так и отдельные лица, является использование программ-вымогателей. В 2021 году 37% организаций заявили, что стали жертвами какого-то вида атаки вымогателей. Программы-вымогатели могут практически мгновенно сделать недоступными большие объемы важных данных. Это делает реагирование на потенциальные события вымогателей своевременным и точным чрезвычайно важным. Использование средства защиты конечных точек имеет решающее значение для снижения уровня этих угроз. Тем не менее, важно сохранять бдительность и ситуационную осведомленность при устранении этих угроз, а не полагаться исключительно на одну часть информации при проведении анализа. Дополнительная информация доступна вот здесь
Группа аналитиков AT&T Managed Extended Detection and Response (MXDR) получила аварийный сигнал о том, что SentinelOne обнаружил программы-вымогатели на активах клиента. Журналы предполагают, что угроза была автоматически помещена в карантин, но дальнейший анализ показывает, что что-то более зловещее уже было. Один и тот же вредоносный исполняемый файл был обнаружен на этом активе дважды, оба раза, как сообщается, автоматически помещался в карантин. Этот тип постоянного вредоносного ПО может быть индикатором более глубокой инфекции, такой как руткит. После более глубокого анализа и совместной работы с клиентом было принято решение поместить актив в карантин и отключить питание, а также заменить его полностью из-за этой постоянной вредоносной программы.
Подписывайтесь на нас ВКОНТАКТЕ
Расследование
Первоначальный анализ аварийных сигналов
Показатели компромисса (МОК)
Первоначальный аварийный сигнал SentinelOne предупредил нас о исполняемом файле «mssecsvc.exe»:
Постоянное вредоносное ПО IoC
Имя исполняемого файла, а также путь к файлу искусно созданы для имитации законной программы Windows.
Расширенное расследование
Поиск событий
События поиска хэша файла выявили, что он неоднократно обнаруживался на одном и том же активе за последние 2 недели. В каждом экземпляре журнал событий сообщает, что исполняемый файл автоматически помещается в карантин SentinelOne.
Постоянные события вредоносных программ
Кроме того, поиск в USM Anywhere выявил два предыдущих расследования, открытых для одного и того же исполняемого файла на одном и том же активе. В обоих предыдущих расследованиях клиент отметил, что SentinelOne автоматически поместил файл в карантин, но не предпринял никаких дальнейших действий в отношении актива.
Для того, чтобы не попасть в этот «послужной» отчёт, нужно вовремя задуматься над своей безопасностью в сети. Например, купив пару-тройку прокси для своего сервера в официальном магазине shopproxy.net.
