Einführung in die Inc. Ransom Group
Die Inc. Ransom Group tauchte erstmals im Juli 2023 auf. Im September desselben Jahres hatten sie öffentlich die erfolgreiche Infiltration von bis zu 12 Opfern bekannt gegeben, eine Zahl, die inzwischen dramatisch gestiegen ist.
Inc. Ransom hat einen TOR-basierten Blog, in dem regelmäßig Informationen zu seinen erfolgreichen Cybervorfällen veröffentlicht werden. In früheren Blogs wurde darauf eingegangen, welche Opfer von der Ransomware betroffen waren, und mit Zusammenfassungen der Datenmengen, die aus den einzelnen Unternehmen exfiltriert wurden.
Methoden des Angriffs
Hier ist ein Beispiel für den typischen Pathway Inc. Lösegeld folgt, um in Unternehmenssysteme einzudringen:
- Erster Zugriff: Inc. Ransom zielt auf Schwachstellen in Unternehmensdiensten ab, wie z. B. die CVE-2023-3519 in Citrix NetScaler oder eine Reihe von Spear-Phishing-Kampagnen, um Benutzeranmeldeinformationen zu kompromittieren.
- System-Scan: Sobald Bedrohungsakteure Zugriff auf die Systeme eines Unternehmens haben, verwenden sie das kompromittierte Konto, um verschiedene Formen von Systemscans durchzuführen. Sie suchen nach anderen Schwachstellen im Ökosystem und scannen Netzwerke, Domains und andere angeschlossene Netzwerkgeräte.
- Dateninspektion: Mit kompromittierten Konten überprüft die Gruppe Dokumente, Bilder und den Inhalt von Ordnern, um sicherzustellen, dass sich wertvolle Daten im System befinden.
- Weitere Extraktion: Verwendung von lsassy.y und andere native Tools, Inc. Ransom extrahiert dann andere verfügbare Anmeldeinformationen und greift auf mehrere Unternehmenssysteme, Netzwerke und Konten zu.
- Ransomware Bereitstellung: Sobald die Gruppe Zugriff auf zahlreiche Geräte und Systeme in einem Unternehmen hat, setzt sie Payloads ein, die Ransomware auf diesen Endgeräten installieren. Die Ransomware verschlüsselt Dokumente und blockiert den Zugriff des Unternehmens, wobei Inc. Ransom die Automatisierung nutzt, um schnell Datensysteme auf Unternehmensebene zu übernehmen.
Die Nutzlasten der Inc. Ransom-Gruppe unterstützen verschiedene Befehlszeilenargumente und verwenden einen Multithreading-Ansatz, um Benutzerdaten zu verschlüsseln.
Die typischen Ziele der Inc. Ransom-Gruppe
Ransomware-Bedrohungen konzentrieren sich in der Regel auf zwei Hauptgruppen:
- Kleine und mittlere Unternehmen
- Unternehmensorganisationen
Bei der ersten Gruppe ist der Gesamtwert der exfiltrierten Daten wahrscheinlich geringer, aber sie werden auch weniger Abwehrmaßnahmen haben.
Im Gegenteil, Unternehmen verfügen in der Regel über umfangreiche Lösungen zur Cybersicherheitsverteidigung, verfügen aber über viel wertvollere Daten. Von diesen beiden Gruppen ist Inc. Ransom konzentriert sich hauptsächlich auf Letzteres. Sie zielen in der Regel auf größere, multinationale Unternehmen in der hochwertigen Datenbranche ab, darunter Sektoren wie:
- Finanzwesen
- Gesundheitswesen
- Tech
Die meisten Angriffe von Inc. Ransom konzentrieren sich auf Unternehmen in Nordamerika, Europa und in geringerem Maße auch in Australien. Die führenden Branchen in Bezug auf die Zahl der Opfer sind professionelle Dienstleistungen, Fertigung, Bauwesen und Gesundheitswesen.
Strategien zur Prävention und Eindämmung für Inc. Ransom-Gruppe
Im Folgenden finden Sie einige der Best Practices zur Verhinderung und Eindämmung der Ransomware-Bedrohung durch Inc. Ransom und andere Ransomware-Bedrohungen.
- Identifizieren von Angriffssignaturen: Überwachen Sie Ihr Netzwerk und Ihre Systeme und suchen Sie nach potenziellen Indikatoren für eine Kompromittierung. Wenn Sie Bedrohungssignaturen, verdächtige Aktivitäten oder seltsame Dateiinteraktionen bemerken, versuchen Sie, diese Bereiche so schnell wie möglich zu isolieren.
- Testen Sie Ihre Systeme: Regelmäßiges Red Teaming und Penetrationstests tragen dazu bei, dass Ihr Unternehmen Schwachstellen in Ihrem System so früh wie möglich erkennt. Wenn Sie in der Lage sind, Schwachstellen zu identifizieren und zu neutralisieren, bevor Gruppen wie Inc. Ransom sie finden, können Sie Ihr Unternehmen schützen.
- Bieten Sie Mitarbeiterschulungen an: Inc. Ransom nutzt Spear-Phishing, um Benutzeranmeldeinformationen von Führungskräften und anderen Mitarbeitern zu stehlen. Indem Sie obligatorische Schulungen zur Phishing- und Ransomware-Prävention anbieten, tragen Sie dazu bei, die Möglichkeit zu begrenzen, dass Ransomware über kompromittierte Konten in Ihr System gelangt.
- Anti-Ransomware -Software einsetzen: Aufgrund der typischen Bedrohungsmarker, die Ransomware-Angriffe hinterlassen können, gibt es zahlreiche wirksame Anti-Ransomware-Tools, die Sie einsetzen können, um sich zu schützen. Der Einsatz von Ransomware-Schutzlösungen trägt dazu bei, Ihr Endgerät so sicher wie möglich zu halten und trägt zur Online-Sicherheit Ihres Gesamtsystems bei.
- Entwickeln Sie einen Plan zur Reaktion auf Bedrohungen: Selbst wenn Sie alle Best Practices anwenden und die weltweit führende Cybersicherheitslösung einsetzen, besteht immer die Möglichkeit, dass Ransomware in Ihr System eindringt. Wenn Sie für diese Eventualität planen, egal wie unwahrscheinlich sie sein mag, indem Sie einen Plan entwickeln, wie Sie Ransomware von Ihrem System entfernen und sensible Dateien schützen, können Sie im Falle eines Angriffs eine Cyber-Abwehrstrategie schneller mobilisieren.
- Erstellen Sie regelmäßige Backups: Ihr Unternehmen sollte regelmäßig Backups der Daten Ihres Systems erstellen. Wenn möglich, erstellen Sie mehrere verschiedene Kopien und speichern Sie diese in einem isolierten Netzwerk. Sie können beispielsweise eine Version auf einem lokalen Speicher, eine in der Cloud und eine dritte bei einem sicheren Drittanbieter speichern. Backups stellen sicher, dass Sie Geschäftsdaten wiederherstellen und weiterarbeiten können, wenn eine Ransomware-Bedrohung in Ihrem Unternehmen aktiv ist.
Ransomware-Schutz mit Check Point
Die Inc. Ransom Group ist eine ernsthafte Bedrohung für moderne Unternehmen, insbesondere für diejenigen, die keine starken Grundlagen für die Cybersicherheit gelegt und nicht in Sicherheitsschulungen für Mitarbeiter investiert haben. Sobald die Gruppe Zugriff auf deine Systeme hat, wird es viel schwieriger, eine effektive Verteidigung aufzubauen.
Eine präventive Sicherheitsebene und proaktive Cyber-Lösungen über Ihre gesamte Angriffsfläche hinweg tragen dazu bei, die Möglichkeit eines Eintritts von Inc. Ransom und anderen Ransomware-Bedrohungen zu verringern. Check Point Anti-Ransomware -Lösung bietet eine ausgeklügelte, unternehmensweite Ransomware-Abdeckung. Als Teil von Harmony Endpointbietet Check Point vollständigen Endgerät-Schutz und nutzt Automatisierung und führende Cybersicherheitsstrategien, um Ihr Unternehmen zu schützen.
Erfahren Sie mehr darüber, wie Check Point Ihr Unternehmen vor Ransomware schützen kann, indem Sie eine kostenlose Demo buchen.