INC ransomver koristi PowerShell i PsExec za krađu podataka prije enkripcije
Istraživači iz Huntress-a otkrili su napad u kojem napadači koriste PowerShell i PsExec da eskaliraju privilegije i pripreme krađu podataka prije aktiviranja INC ransomvera. Napad uključuje fišing ili kompromitovani endpoint, mapiranje mrežnih dijeljenih resursa, kreiranje zadatka "Recovery Diagnostics" koji pokreće base64-kodiranu PowerShell skriptu i korištenje alata Restic prerušnog kao winupdate.exe za eksfiltraciju podataka u Wasabi S3 cloud.
Pojašnjenje
Napadači sve češće koriste legitimne administrativne alate i backup softver za krađu podataka prije aktiviranja ransomvera. Takav pristup otežava detekciju jer aktivnosti liče na normalnu administraciju sistema.
Preporuke
- Pratiti PsExec i PowerShell aktivnosti na endpointima
- Detektovati base64 PowerShell komande i sumnjive scheduled taskove
- Blokirati neautorizovan pristup cloud skladištima poput S3 ili Wasabi
- Osigurati potpunu instalaciju EDR agenata i centralni SIEM nadzor