受感染的用户响应指南

感染后的补救措施： 受恶意软件感染用户响应 指南 Tableof CONTENTS Overview 03 Whatisan已感染用户? 03 已感染Employees 04 WhatThis我 05 补救建议 06 Sample电子邮件：已感染Employee 08 已感染消费者 09 WhatThis我 09 补救建议 09 Sample电子邮件：已感染消耗 0 What'sthe影响of恶意软件感染? 1 中断犯罪分子能力toProfi 1 TheSpyCloud差异 2 概述 许多感染了infostealer恶意软件的用户 在不知不觉中记录了他们的帐户密码和完整的浏览器详细信息并被网络犯罪分子窃取。这些“僵尸网络”窃取的信息是 由网络犯罪分子收集，在小圈子中分享，有时发布在黑客网络论坛上获得进一步的财务收益和麻烦 与数据相关的个人和组织。SpyCloud能够 大规模地重新捕获这些僵尸网络日志，解析出被感染的受害者的用户名，登录URL，密码和Web会话Cookie，以帮助 企业保护自己和消费者免受账户接管，勒索软件和在线欺诈。 企业可以通过以下方式降低与恶意软件感染相关的风险 迅速采取行动，通知受影响的用户，并帮助他们充分补救。在在本指南中，我们将看看如果与您的员工相关的信息意味着什么 或消费者出现在僵尸网络日志中，以及您可以采取哪些措施来帮助让他们安全。 什么是感染用户？ 受感染的用户是其设备已感染恶意软件的人。 带有键盘记录组件或“infostealers”的恶意软件，虹吸信息如浏览器历史记录，自动完成数据，Web会话cookie，屏幕截图、系统信息、加密钱包和登录凭据。 网络犯罪分子将这些数据用于各种恶意目的，并且存在暗网上这类信息的强劲市场。对于个人 受害者，结果可能是毁灭性的。企业的损失可能是如果他们的消费者或员工受到影响， 感染用户指南03 恶意软件生态系统 威胁行为者向用户分发恶意软件。这可能采取网络钓鱼电子邮件或广告的形式这诱使用户下载恶意file。 12 用户受感染的系统发送数据到威胁参与者的命令和控制服务器(C2). 用户 威胁行为者看到结果管理面板，它可以 包括被盗的凭据， 加密钱包详细信息，系统信息, 浏览器数据和files。 感染雇员 威胁演员货币化通过排水窃取数据帐户和销售 34 被盗信息到其他罪犯。 如果SpyCloud在我们的数据中识别出与您的域相关的受感染员工或承包商的凭据，包括您的 第三方工作场所应用程序域，如VPN，CRM，聊天服务等-这意味着我们已经重新获得了僵尸网络日志显示您的员工使用受感染的设备通过其工作电子邮件地址和 密码，很可能是通过非托管或管理不足的设备。 例如，SpyCloud可能会发现bob@yourcompanydomain.com被感染，他的凭据和cookie 在登录okta.com、dropbox.com、cloudflare.com和其他公司应用程序时捕获。 感染用户指南04 这对你的企业意味着什么 带有键盘记录组件的恶意软件可以记录员工的一举一动，从而过滤浏览器历史记录，文件，系统 information,deviceandwebsessioncookies,andlogindataforcorporateandthird-partyresources.Whiletheriskofainfection 在公司拥有的系统上很明显，受感染的个人设备也会危及公司资源-它们通常 脱离了公司安全的范围。个人登录可以揭示密码重复使用的模式；此外，忙碌的员工经常模糊个人和与工作相关的设备使用之间的界限，这意味着家中受感染的系统有可能暴露 公司登录凭据和数据，如果他们启用同步他们的工作和个人设备上的浏览器信息。此外，管理不足的设备，例如承包商用于访问公司帐户或员工设备的设备 与安全补丁保持最新，也可能构成风险，因为它们超出了监控工具的可见性。 无论您的员工受感染的系统是个人还是公司，犯罪分子都可以使用他们被盗的凭据和用于各种恶意目的的个人信息： 利用被盗凭据访问公司和第三方资源，例如您的公司 网络、电子邮件和file共享平台、人力资源门户、云服务和开发人员资源等。 窃取员工或客户数据以在犯罪地下出售 访问知识产权或敏感的fi财务信息 使用企业云服务托管恶意基础设施或挖掘加密货币 针对同事、客户和合作伙伴进行商业电子邮件泄露(BEC)诈骗 授权欺诈性电汇或更改客户付款和工资单交易的ACH详细信息 提升权限以获得额外的访问权限并逃避检测 使用被盗的个人信息进行勒索，跟踪或社会工程 部署勒索软件以加密files并要求支付密钥以解锁数据 感染用户指南05 IP 补救建议 首先，检查IP和MachineID（如果提供），以查看受感染的系统是否是公司拥有的资产。如果是，请创建一个检查或重新映像系统。此外，查看SIEM日志以识别来自受感染机器或IP的任何可疑行为 地址。 如果受感染的员工或承包商记录是公司拥有的资产或系统，则应将其视为最关键的可以访问您的公司网络。但是，受感染的个人系统也可能对您的组织构成风险，应该例如，恶意软件可能已捕获您的员工对内部资源的登录。 无论感染是个人还是公司，我们建议要求员工重置所有公司密码并启用修正设备后的多因素身份验证(MFA)，包括第三方应用程序和工具。 这些额外的步骤来修复恶意软件暴露的每个应用程序就是我们所说的感染后修复（PIR）。 感染后修复是从以机器为中心的SOC过程到以身份为中心的过程的范式转变。这是必要的因为长期勒索软件风险不能通过简单地擦拭受感染的设备并关闭服务票证来降低。真正降低关键网络攻击的风险只有在修复所有受攻击的应用程序时才能发生。这需要 拥有目标URL、被盗凭证和会话cookie的完整图片，这些cookie可以允许勒索软件操作员“走进”您的网络。 SpyCloud启用了这种更完整的恶意软件感染响应方法。每次出现恶意软件时，我们都会提醒安全团队感染发生在访问您的劳动力应用程序的设备上。警报为您的 组织：有关设备的详细信息，以及重要应用程序的虹吸身份验证详细信息 您的业务-密码管理器、安全工具、营销和客户数据库、学习和协作应用程序以及 人力资源和工资单系统，仅举几例。了解有关这些安全团队警报的更多信息，请访问SpyCloud.com. 感染用户指南06 感染后补救步骤 1隔离设备 2确定细节 3创建图像 4移除恶意软件 5重置凭证 6无效会议 7审查应用程序完整性 采取这些步骤使您的安全团队能够破坏试图损害您业务的网络犯罪分子，大幅缩短勒索软件和其他关键威胁的暴露窗口，并有效阻止恶意软件成为全面安全事件的风险敞口。 感染用户指南07 样本电子邮件：联系感染员工 To:<员工姓名> 主题：需要采取的措施：公司设备上的紧急安全问题 <员工名字>, 这是来自<公司名称>安全运营团队的<您的姓名和头衔>。 我们的网络安全监控工具之一确定您的企业登录凭据 应用程序受到公司发布的设备上的恶意软件感染的威胁。其他个人信息也可能被泄露。 我正在安排一次紧急会议，让我们完成下一步，这样我们就可以保护你和公司的信息。请让自己参加这次会议，并采取 立即操作以断开设备与网络的连接。 我们将致电您以验证此电子邮件是否来自<companyname>Security 运营团队并不是网络钓鱼电子邮件。 谢谢, <签名> 查看如何提醒个人设备拥有的员工在我们的感染后补救指南中被感染 感染用户指南08 感染消费者 这些是您面向消费者的网站的用户，其中僵尸网络日志显示他们在输入用户名和 登录页面上的密码（例如，jim@hotmail.com在登录signin.yourcompanydomain.com时被感染）。强制密码重置并为用户帐户启用MFA或其他身份验证措施是很好的第一步。但是，只要 消费者的系统仍然被感染，信息窃取者可能会在更改新密码后继续收集新密码。 更糟糕的是，Infostealer可能收集了其他身份验证数据（设备和Web会话Cookie）和个人信息 （PII，财务详细信息），攻击者可以用于恶意目的或出售给其他罪犯。 这对你的企业意味着什么 受感染的消费者面临帐户接管，身份盗窃和在线欺诈的极高风险。以下是其中的一些方式网络犯罪分子可以利用他们窃取的信息： 从加密钱包、投资组合、支付应用程序和其他账户转移资金 使用帐户中存储的信用卡信息或礼品卡发出欺诈性订单 与账户关联的虹吸忠诚度积分 更改送货地址，以方便包裹盗窃和送货 向其他罪犯出售登录详细信息、会话cookie和浏览器fingerprints 补救建议 风险排名因SpyCloud客户和他们所服务的消费者类型而异。一些SpyCloud客户需要 最终用户重置他们的密码，并向他们发送一封电子邮件解释原因。其他人选择监控该客户的在线会话以不同的方式进行，并对某些交易进行更多的审查。 我们建议的途径是通知客户，通常通过电子邮件，并包括补救建议，如安装 防病毒程序和运行扫描。建议特定的防病毒程序可以帮助降低用户在不知不觉中的风险下载伪装成防病毒软件的其他恶意软件。应指示客户不要通过 密码更改过程，直到系统被清理。 锁定客户帐户等其他步骤可能有助于防止恶意交易，但可能会被视为在某些类型的帐户的情况下，用户的敌意或极端。 感染用户指南09 样本电子邮件：联系感染的消费者 To:<备用客户> 主题:重置备用密码 Hi, 我们的网络安全监控工具之一确定了最近使用的设备上的恶意软件感染 accessyourSparefactoraccount.Asaresult,itislikelythatthelogininformationforyourSparefactor 帐户可能已被破坏。 我们强烈建议您重置密码以保护您的备用帐户。但首先，我们 建议安装防病毒保护以删除恶意软件，删除浏览器和cookie历史记录，运行扫描以清理机器，然后在Sparefactor.com上重置密码。 您可以通过三个简单的步骤重置密码： 1.转到Sparefactor.com 2.您通常会在哪里点击登录，点击“忘记密码？” 3.创建一个新的，强密码，是唯一的您的备用帐户 我们还建议您启用双因素身份验证(其中代码作为额外的 验证步骤），以帮助确保您的在线帐户的安全。您可以为您的备用帐户启用此帐户设置下的帐户。 恶意软件也可能破坏了您在其他网站上的登录凭据。你可以 对于您在线使用的任何其他网站和服务，请按照上述步骤操作，并创建一个强大的唯一密码为每一个。 我们非常重视您的安全和隐私，如果我们注意到任何事情，我们会立即联系不寻常的未来。 谢谢, <签名> 感染用户指南10 借助SpyCloud的僵尸网络数据，我们已经保护了数千个代表数千万美元的帐户“ funds.That’suserswefoundinSpyCloud’sbotnetdata,wherewewereabletosuccessfulinterventionandforcepassword 设置和帐户恢复之前，攻击者能够做一些恶意的事情。 OBALFINTECH公司 疟疾感染的影响是什么？ 暗网上的被盗凭证和其他数据有一个强大的市场，受感染的用户只是一个来源。去年 仅此一项，SpyCloud就发现了超过2000万台受恶意软件感染的机器，并重新捕获了数十亿个数据资产。Infostealers。我们继续每周从恶意软件感染的系统中收集数百万条记录。 犯罪分子使用被盗凭证和Web会话Cookie来轻松访问公司系统和消费者帐户。频繁的密码重用和弱密码使攻击者很容易从一个受损帐户转移到另一个帐户， 为暗网上的被盗凭证和其他数据提供了强大的市场。他们利用恶意软件虹吸的网络和设备会话cookie来实施会话劫持，完全绕过对凭据和MFA的需求。会话 劫持是欺诈越来越普遍的先兆，对企业来说，勒索软件攻击甚至更可怕。 扰乱罪犯的获利能力 SpyCloud的使命是极大地破