Kuidas LemonDucki pahavara sihib ettevõtteid ja kuidas olla kaitstud

Küberjulgeoleku ohtude maastik on pärast COVID-19 pandeemia algust palju hullemaks läinud. Ettevõtted ja ettevõtjad on rohkem kui kunagi varem ohus; tegelikult oli Saksamaa IT-turbeinstituudi AV-Test Institute andmetel 2020. aastal 137,7 miljonit uut pahavaraproovi. 2021. aasta augusti seisuga on leitud juba 117 miljonit uut pahavara näidist.

Kuid mitte nii uus pahavara on taas tõusuteel ja sihib Windowsi arvuteid. Seda nimetatakse LemonDucki pahavara ja kuigi see võib tunduda armas, on see varustatud teie andmete varastamiseks ja teie kahjustamiseks süsteemid. Nii et uurime selle ohte ja seda, kuidas saate teie või teie ettevõte kaitstud olla.

Mis on LemonDucki pahavara?

LemonDuck on aktiivselt uuendatud ja tugev pahavara, mis on küberturvalisuse radaril olnud alates 2019. aasta maist. See sai esmakordselt kurikuulsaks botnet ja krüptoraha kaevandamise rünnakuid ning sellest ajast alates on sellest kujunenud väga keerukas pahavara.

LemonDuck on platvormideülene oht, mis on suunatud nii teie Windowsi kui ka Linuxi seadmetele. See kasutab enda levitamiseks mitmesuguseid erinevaid rünnakuvektoreid, näiteks andmepüügimeilid, ärakasutamine, USB -seadmed ja jõhker jõud. Microsoft on hoiatanud, et lisaks ressursside kasutamisele tavapäraseks bot- ja kaevandustegevuseks võib LemonDuck nüüd teie mandaadi varastada ja teie süsteemidest turvakontrolli eemaldada.

See ei hooli domeenipiiridest ja liigub külgsuunas üle teie rakenduste, lõpp -punktide, kasutajate identiteetide ja andmeside domeenide. See võib installida tööriistu tulevaste inimeste juhitavate rünnakute jaoks ja teie süsteemide kaitsmine võib olla keeruline, kui te ei tea, mida teete.

Miks peaksite LemonDucki ohtu tõsiselt võtma?

Oma algusaegadel sihtis LemonDuck peamiselt Hiinat ega jõudnud sellest kaugemale. Tänaseks on selle tegevus laienenud mitmesse riiki: USA, Venemaa, Hiina, Saksamaa, Ühendkuningriik, India, Korea, Kanada, Prantsusmaa ja Vietnam on kõik viimasel ajal kõige hullemini kannatanud korda.

LemonDuck nakatab süsteeme, maskeerides end kahjututeks failideks, mida me igapäevaselt näeme. Selle ohvriks langemine on lihtne, kuna see kasutab tõhusate kampaaniate läbiviimiseks ja sihtmärkide meelitamiseks jooksvaid uudiseid, sündmusi või uute võimaluste avaldamist.

Näiteks, Microsofti postitus Pahavara arutades märgitakse, et see märkas LemonDuckit, kasutades COVID-19-teemalisi lante e-posti rünnakutes juba 2020. Aastal 2021 kasutas ta äsja parandatud Exchange Serveri turvaauke, et pääseda juurde vananenud süsteemidele.

Lisaks ei piirdu LemonDuck uute või populaarsete turvaaukude ärakasutamisega. Kui teie organisatsioonis on süsteemis vanu parandamata haavatavusi, saab LemonDuck neid ära kasutada, kui te keskendute uue haavatavuse parandamisele, selle asemel, et parandada juba teadaolevat.

LemonDucki teeb veelgi ohtlikumaks see, et ta ei salli ühtegi teist ründajat enda ümber. Tegelikult eemaldab LemonDuck need rikutud seadmest, vabanedes konkureerivast pahavarast. Samuti hoiab see ära uued nakkused, parandades samad haavatavused, mida kasutasite juurdepääsu saamiseks.

Jälgige LemonDucki kurja kaksikut LemonCat

Microsoft 365 Defender Threat Intelligence Team on oma aruandes paljastanud ka LemonCati infrastruktuuri. LemonCat kasutab ka LemonDucki pahavara, kuid teine ​​organisatsioon kasutab seda oma eesmärkide saavutamiseks.

See kasutab oma domeenides kahte domeeni sõnaga „kass” (sqlnetcat [.] Com, netcatkit [.] Com) ja nähti, et kasutab jaanuaris 2021 ilmnenud Microsoft Exchange Serveri turvaauke.

Peaksite LemonCati suhtes ettevaatlik olema, kuna seda kasutatakse ohtlike toimingute jaoks, mis kahjustavad teie andmeid ja süsteeme. Tänapäeval kasutavad häkkerid LemonCati, et installida tagauksi, volikirja ja andmete vargust ning kahjulike koormuste edastamist nagu Windowsi troojalane "Ramnit".

Kuid see, et LemonCatit kasutatakse ohtlikumate rünnakute jaoks, ei tähenda, et peaksite LemonDucki pahavara vähem tõsiselt võtma. Tegelikult näitavad need leiud, kui ohtlik see kahekordne oht võib olla Windowsi seadmetele. Ründajad saavad dünaamiliste ajavahemike järel uuesti kasutada samu tööriistu, juurdepääsu ja meetodeid, et teie ettevõttele varem oodatust suuremat kahju tekitada.

Seotud: Miks ründavad pahavara arendajad suuri ettevõtteid?

Kuidas saate Microsoft 365 Defenderiga kaitstud olla?

Loodetavasti on teil juba loodud süsteem, mis kaitseb teid küberturbeohtude eest. Näiteks võib teie süsteemides juba olla tõhus viirusetõrjetarkvara ja turvatööriistad. Kui ei, siis peaksite kaaluma Microsoft 365 Defenderi hankimist, kui soovite kaitset ettevõtte tasandil.

Microsoft 365 Defender on ühtne ettevõtte kaitsekomplekt, mis sisaldab Microsoft Defenderi lõpp -punkti Microsoft Office 365 kaitsja, Microsoft Defender Identity ja Microsoft Cloud App Security lahendused.

Microsoft 365 Defender aitab teil tuvastada turvariske, uurida teie organisatsiooni vastu suunatud rünnakuid ja vältida kahjulikke tegevusi automaatselt. See integreeritud domeenidevahelise ohu tuvastamise ja reageerimise lahendus pakub teie organisatsioonile koordineeritud ja automaatset kaitset, et blokeerida ohud enne, kui need muutuvad rünnakuteks.

Selle tehisintellektiga töötavad tööstuses juhtivad kaitsed aitavad teil ületada LemonDucki laiaulatuslikke ja keerukaid ohte. Hea näide on Microsoft 365 Defender Office 365 jaoks, mis tuvastab LemonDucki botneti poolt saadetud pahatahtlikud e-kirjad, et edastada kahju tekitavaid õelvara koormusi.

Teisest küljest tuvastab ja blokeerib Microsoft Defender for Endpoint LemonDucki implantaadid, kasulikud koormused ja pahatahtliku tegevuse Linuxi ja Windowsi seadmetes.

Microsoft 365 Defenderi abil on teil rikkalikud uurimistööriistad, mida teie turvameeskond saab kasutada LemonDucki tegevuse avastamiseks. See analüüsib ja normaliseerib hoiatusi ja seotud sündmusi ning ühendab need vahejuhtumiteks, et anda teile täielik ülevaade ja kontekst rünnakust-kõik ühes armatuurlaual.

Lisaks paljastab see isegi katseid kompromissile pääseda ja võrgus tuge saada, nii et turvaoperatsioonide meeskonnad saavad neile rünnakutele tõhusalt ja enesekindlalt reageerida ning neid lahendada.

Microsoft 365 Defenderi juurutamine teie ettevõtte jaoks

Ametniku järgi Microsoft 365 Defenderi dokumentatsioon, lülitub see automaatselt sisse, kui nõutavate õigustega sobilik klient külastab Microsoft 365 Defenderi portaali.

Kui teil on Microsoft 365 litsents, saate teenust Microsoft 365 Defender tasuta kasutada turvatoode, nagu Microsoft 365 E5 või A5, Windows 10 Enterprise E5 või A5 ja Office 365 E5 või A5.

Mida veel teha, et LemonDuckit lahes hoida

Samuti saate rakendada teatud leevendusi, et tugevdada oma kaitset ja vähendada LemonDucki pahavara mõju.

1. Skaneerige regulaarselt USB -d ja eemaldatavaid mäluseadmeid ning blokeerige need tundlikes seadmetes. Samuti peaksite automaatse käivitamise välja lülitama ja lubama reaalajas viirusetõrje.
2. Olge kahtlaste meilide suhtes ettevaatlik. LemonDuck on kasutanud e-posti rünnakuid selliste teemadega nagu “The Truth of COVID-19”, “HALTH ADVISORY: CORONA VIRUS”, “What the fcuk”, “This is your order?” ja veel. Nende peibutiste jaoks kasutatakse kolme tüüpi manuseid: .doc, .js või .zip, mis sisaldab a. faili. Olenemata tüübist nimetatakse faili "readme". Aeg -ajalt leiate kõik kolm ühest e -kirjast.
3. Julgustage oma organisatsioonis kasutama SmartScreeni toetavaid veebibrausereid. SmartScreen tuvastab ja blokeerib pahatahtlikud veebisaidid, sealhulgas andmepüügisaidid, kelmuse saidid ja saidid, mis sisaldavad ärakasutamist ja pahavara majutamist.

On ka teisi olulisi leevendussoovitusi, millest saate lugeda Microsofti ajaveebisarja teine ​​osa. Seal saate tutvuda ka LemonDucki nakkuse järgsete pahatahtlike toimingute põhjaliku tehnilise analüüsiga ja saada juhiseid LemonDucki rünnakute uurimiseks.

Hoidke oma organisatsiooni kaitstud

LemonDuck ja LemonCat on ähvardused, mida peaksite tõsiselt võtma. Pidevalt arenev mitmekomponentne pahavara võib välja mõelda uusi viise, kuidas pääseda ligi teie Windowsi seadmetele ja teie ettevõtte varadele ning neid kahjustada.

Siiski võite olla kaitstud, kui olete tähelepanelik ja ajakohane ning teete arukaid valikuid. Näiteks sellise tugeva turvatööriista kasutuselevõtmine nagu Microsoft 365 Defender, mis võimaldab teie turvameeskonnal tuvastada, analüüsida ja kõrvaldada ohte enne nende kahjustamist.

Kas pahavara võib teie viirusetõrjet lunavara kaitsest mööda hiilida?

Viirusetõrjetarkvara ei peata alati lunavara. Siit saate teada, kuidas küberkurjategijad sellest mööda lähevad ja mida saate sellega teha.

Loe edasi

Autori kohta