The Truth about Ransomware: It's not Complicated!

  • Webcast Aired Thursday, 18 Nov 2021 11:00AM SST (18 Nov 2021 03:00 UTC)
  • Speakers: Rob Lee, Ryan Chapman

Thursday, 18 November 2021 @ 12:00 PM JST / KST

The threat of ransomware now permeates our daily computing lives. News stories of attacks have become ubiquitous. While media outlets often portray ransomware attacks as advanced operations carried out by highly skilled threat actors, this often is not the case. In fact, the opposite is true -- Many ransomware attacks are opportunistic and leverage insecure configurations to enter an environment. These groups are not stealthy, in fact they are often quite loud. For example, most ransomware attacks involve multiple groups including initial access brokers (IABs), paid "pentester" affiliates, the ransomware malware authors, money mules, and more. The bulk of IABs and third-party affiliates are more akin to thieves who test door handles to find an opportunity vs. those who slink around in the shadows and cut holes in glass to enter buildings. Please join this talk so that we can discuss how to keep these groups out, how to detect them once they're in your network, and how to respond should the worst-case scenario occur. Thwarting ransomware isn't rocket science, it just takes awareness and diligence, so let's push to ensure we're all ready for what's ahead.

Japanese Translation

Title: ランサムウェアの真実:複雑ではない!
Date: 11月18日(木)12:00 日本時間

Abstract:
ランサムウェアの脅威は、コンピュータが欠かせなくなった私たちの生活に浸透してきています。実際に、ランサムウェアによる攻撃のニュースが毎日のように報道されています。メディアは、ランサムウェアの攻撃を、高度な技術を持った攻撃者による高度な不正操作であるかのように伝えていますが、実際にはそうではありません。ランサムウェアを用いた攻撃の多くは、十分なセキュリティ対策が行われていない環境に容易に侵入します。このとき、攻撃が見つけられないようにこっそりと操作するということもなく、むしろ大量の痕跡を残しながら攻撃してくることが多いのです。こうしたランサムウェアによる攻撃には、様々なグループが関わるようになってきています。初期アクセスブローカー(IAB:Initial Access Brokers)や、有償で攻撃を請け負うペネトレーションテスター、ランサムウェアの開発者や、マネーミュール(犯罪と知らずに不正資金の送金を代行し、マネーロンダリングに加担してしまう)などが挙げられます。今回のWebcastでは、こうしたグループから侵入を防ぐ方法、ネットワークに侵入された場合の検知方法、そして最悪の事態が発生した場合の対応方法について議論します。ぜひご参加ください。

Presenter:
Ryan Chapman: BlackBerry社のSecurity Services TeamでPrincipal Incident Response Consultantを担当しているRyan Chapman氏は、SOCやCIRTでの経験を持つDigital Forensics & Incident Response(DFIR)の専門家です。RyanはSANS FOR610のインストラクターを務め、ランサムウェアベースの新コース「FOR528: Ransomware for Incident Responders」を開発しました。

Ryanは様々な種類の調査や技術的な対応の専門家です。例えば、ネットワークアクティビティの分析、ホストやネットワークのIOCの調査、ログ集計ツールの解析、パケットキャプチャの調査、マルウェアの分析、ホストやネットワークのフォレンジックを必要とするインシデントなどを扱っています。

Rob Lee: Rob Lee氏は、SANS Instituteのチーフカリキュラムディレクター兼ファカルティリーダーであると共に、情報セキュリティ、インシデントレスポンス、スレットハンティング、そしてデジタルフォレンジックを専門とするコンサルティング事業も行っています。デジタルフォレンジックや脆弱性の発見、侵入検知やインシデントレスポンスなどの分野で20年以上の経験を持ち、「DFIR(Digital Forensics and Incident Response)のゴッドファーザー」としても知られています。「Know Your Enemy, 2nd Edition」の共著者であり、SANSでは「FOR500:Windows Forensic Analysis」と「FOR508:Windows Forensic Analysis」の開発にも携わっています。

Korean Translation

Title: 랜섬웨어의 진실: 복잡하지 않습니다!
Date: 11월 18일(목)12:00 (한국시간)

Abstract:
랜섬웨어 위협은 컴퓨터를 항상 사용하는 우리의 삶에 침투 해오고 있습니다. 랜섬웨어 공격 관련 뉴스가 매일 같이 보도되고 있으며, 종종 언론 매체는 랜섬웨어 공격을 고급기술을 가진 공격자에 의한 고도의 조작 인 것처럼 전하고 있지만 실제로는 그렇지 않은 경우가 많습니다. 사실, 그 정반대의 경우가 더욱 많습니다. 많은 랜섬웨어 공격은 기회주의적이며, 안전하지 않은 설정을 이용해 환경에 침투합니다. 이때, 그룹들은 은밀한 공격보단, 많은 흔적을 남기면서 공격 해 옵니다. 이러한 랜섬웨어 공격에는 다양한 그룹이 관여하고 있습니다. 예를 들어 랜섬웨어 공격에는 최초 접근 브로커(IAB), 페이드 침투 테스터, 랜섬웨어 및 멀웨어 저자, 머니 뮬 등이 있습니다. 이번 웹케스트에서는 이러한 그룹의 침입을 방지하는 방법, 네트워크에 침입 한 경우 그 침입자를 감지 할 수 있는 방법, 또한 최악의 사태 발생시 이에 대응 방법에 대하여 논의 합니다. 랜섬웨어 공격을저지하는 것은 생각보다 어렵지 않습니다. 관심과 근면함으로, 다 같이 앞으로 일어날 일에 함께 준비 합시다.

발표자: Rob Lee

Ryan Chapman

발표자 약력:

Rob Lee님은 SANS의 지도교사 및 수석 커리큘럼 이사 입니다. 또한 정보 보안, 사고 대응, 위협 사냥 및 디지털 포렌식을 전문으로 하는 컨설팅 비지니스를 운영하고 있습니다. 디지털 포렌식, 취약점 공격 및 익스플로잇 탐색, 침입 탐지/방지, 사고 대응 분야에서 20년 이상의 경험을 축적한 Rob은 “The Godfather of DFIR(Forensics and Incident Response) - DFIR의 대부”로 알려져 있습니다. "Know Your Enemy, 2nd Edition」의 공동 저자이며, SANS의 "FOR500 : Windows Forensic Analysis '와 FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics.' 코스의 공동저자 입니다.

Ryan Chapman님은BlackBerry 사의 Principal Incident Response 컨설턴트 입니다. 또한 그는 디지털 포렌식 및 사고 대응 (DFIR)분야에서 10년 이상의 경험을 가지고 있습니다. 현재 그는 SANS의 FOR610: Reverse Engineering Malware 과정 강사이며, 2021년 말 새롭게 소개되는 SANS의 랜섬웨어 관련 FOR528: Ransomware for Incident Responders 코스를 저술하였습니다. Ryan은 수정을 통한 인셉션을 핸들링 하는 Security Operations Center 및 Cyber Incident Response Team에서 일해왔습니다. 그의 블루팀 주요 업적들로는 패킷 캡처를 통한 선별, 도메인 및 IP조사, 로그 수집기 유틸리티를 통한 사냥, 맬웨어 분석, 호스트 및 네트워크 포렌식 수행등을 포함합니다.


Bahasa Indonesian Translation

Judul: The Truth about Ransomware: It's not Complicated!
Waktu: Kamis, 18 November 2021
Pembicara: Rob Lee, Ryan Chapman

Ancaman ransomware sudah menyebar dalam kehidupan digital kita saat ini. Kasus baru mengenai serangan ransomware banyak bermunculan. Saat media menggambarkan serangan ransomware sebagai operasi canggih yang dilancarkan oleh penyerang berkemampuan tinggi, pada umumnya tidak seperti itu kenyataannya. Faktanya adalah sebaliknya – Banyak serangan ransomware adalah merupakan oportunistis dan menggunakan celah konfigurasi yang tidak aman untuk memasuki suatu lingkungan organisasi. Grup ini tidak bersembunyi, faktanya terkadang mereka mengekspos diri mereka. Sebagai contoh, kebanyakan serangan ransomware melibatkan beberapa grup termasuk Inn`itial Access Broker (IAB), “pentester” yang dibayar, pembuat malware ransomware, kurir pencucian uang (money mule), dan lainnya. IAB dan afiliasi pihak ketiga mirip dengan pencuri yang memeriksa gagang pintu untuk mencari kesempatan vs. orang yang mengendap-endap di kegelapan dan melubangi kaca untuk masuk ke dalam gedung. Silakan bergabung dalam diskusi ini untuk membicarakan cara menghindari grup tersebut, cara mendeteksinya jika sudah memasuki jaringan Anda, dan cara menghadapi situasi terburuk. Menghalangi serangan ransomware bukanlah hal sulit, asalkan kita waspada dan waspada agar siap menghadapi masalah ke depannya.
 

Rob Lee adalah Chief Curriculum Director and Faculty Lead SANS Institute dan memiliki bisnis konsultan yang berfokus di information security, incident response, threat hunting, and digital forensics. Dengan pengalaman lebih dari 20 tahun pada bidang digital forensics, vulnerability and exploit discovery, intrusion detection/prevention, and incident response, dia dikenal sebagai “Bapak Digital Forensic and Incident Response (DFIR)”. Rob adalah penulis pendamping Know Your Enemy, Edisi Kedua, dan penulis pendamping FOR500: Windows Forensic Analysis (Analisis Forensik Windows) dan FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics

Ryan Chapman adalah Kepala Konsultan Respons Peristiwa dengan BlackBerry. Dia sudah bekerja di bidang Forensik Digital & Respons Peristiwa (DFIR) selama 10 tahun. Saat ini, dia juga mengajarkan SANS FOR610: Reverse Engineering Malware, dan penulis kursus SANS terbaru untuk ransomware FOR528: Ransomware for Incident Responders, yang tersedia pada tahun 2021 mendatang. Selama karirnya, Ryan pernah bekerja di Pusat Operasi Keamanan dan Tim Respons Peristiwa Siber yang menangani masalah dari awal melalui remediasi. Bersama dengan Ryan, kita akan membahas semua tentang Keamanan Siber, termasuk penyelidikan melalui Packet Capture, riset domain dan IP, penyelidikan melalui utilitas agregasi log, analisis malware, serta host dan jaringan forensik.


Thai Translation

ชื่อเรื่อง: The Truth about Ransomware: It's not Complicated!
วัน/เวลา: Thursday, 18 November 2021 @ 10:00 AM ICT

Abstract:

ภัยคุกคามของแรนซัมแวร์ได้แทรกซึมชีวิตประจำวันของเรา ดังที่เห็นในข่าวการโจมตีเป็นที่แพร่หลาย แม้ว่าสื่อต่างๆมักจะวาดภาพการโจมตีของแรนซัมแวร์ว่าเป็นการดำเนินการขั้นสูงที่ดำเนินการ

โดยผู้คุกคามที่มีทักษะสูง แต่สิ่งนี้มักไม่เป็นเช่นนั้น ที่จริงแล้ว ความจริงเป็นสิ่งที่ตรงกันข้าม -- การโจมตีของแรนซัมแวร์จำนวนมากเป็นการฉวยโอกาสและใช้ประโยชน์จากการกำหนดค่า

ที่ไม่ปลอดภัยเพื่อเข้าสู่สภาพแวดล้อม กลุ่มเหล่านี้ไม่ซ่อนเร้น อันที่จริงพวกเขามักจะค่อนข้างมีชื่อเสียง ตัวอย่างเช่น การโจมตี ransomware ส่วนใหญ่เกี่ยวข้องกับหลายกลุ่มรวมถึงโบรกเกอร์การเข้าถึงเริ่มต้น (IAB) บริษัทในเครือ "pentester" ที่จ่ายเงิน ผู้สร้างมัลแวร์เรียกค่าไถ่ ล่อเงิน และอื่นๆ IAB และบริษัทในเครือที่เป็นบุคคลที่สามส่วนใหญ่นั้นคล้ายกับโจรที่ทดสอบที่จับประตูเพื่อหาโอกาส เทียบกับผู้ที่หลบเลี่ยงในเงามืดและเจาะรูกระจกเพื่อเข้าไปในอาคาร โปรดเข้าร่วมการเสวนานี้เพื่อที่เราจะได้พูดคุยถึงวิธีกันไม่ให้กลุ่มเหล่านี้เข้ามา วิธีการตรวจจับเมื่ออยู่ในเครือข่ายของคุณ และวิธีรับมือหากสถานการณ์เลวร้ายที่สุดเกิดขึ้น การขัดขวางแรนซัมแวร์ไม่ใช่การคิดค้นจรวด แต่ต้องใช้ความตระหนักรู้และความขยันหมั่นเพียร ดังนั้นเรามาผลักดันเพื่อให้แน่ใจว่าเราทุกคนพร้อมสำหรับสิ่งที่จะเกิดขึ้นในอนาคต


Presenter/s Bio:

Rob Lee เป็นหัวหน้าผู้อำนวยการหลักสูตรและหัวหน้าคณะของสถาบัน SANS และดำเนินธุรกิจที่ปรึกษาของตนเองที่เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูล การตอบสนองต่อเหตุการณ์ การไล่ล่าภัยคุกคาม และวิเคราะห์หลักฐานทางดิจิทัล ด้วยประสบการณ์มากกว่า 20 ปีในด้านวิเคราะห์หลักฐานทางดิจิทัล ช่องโหว่และการค้นพบช่องโหว่ การตรวจจับ/ป้องกันการบุกรุก และการตอบสนองต่อเหตุการณ์ เขาเป็นที่รู้จักในนาม "เจ้าพ่อแห่ง DFIR" Rob ได้ร่วมเขียนหนังสือ Know Your Enemy ฉบับที่ 2 และเป็นผู้เขียนร่วมของหลักสูตร FOR500: Windows Forensic Analysis และ FOR508: Advanced Incident Response, Threat Hunting และ Digital Forensics

Ryan Chapman เป็นที่ปรึกษาหลักในการตอบสนองต่อเหตุการณ์ที่เกิดขึ้นกับ BlackBerry เขาได้ทำงานในขอบเขต Digital Forensics & Incident Response (DFIR) เป็นเวลา 10 ปี ปัจจุบันเขายังสอน SANS FOR610: Reverse Engineering Malware และกำลังเขียนหลักสูตร SANS ใหม่เกี่ยวกับ ransomware FOR528: Ransomware for Incident Responders ซึ่งจะพร้อมใช้งานในปี 2564 ในอาชีพของเขา Ryan เคยทำงานใน Security Operations Center และ Cyber Incident Response บทบาทของทีมที่จัดการเหตุการณ์ตั้งแต่เริ่มก่อตั้งจนถึงการแก้ไข สำหรับ Ryan ทุกอย่างเกี่ยวกับทีมสีน้ำเงิน รวมถึงการลอดผ่าน Packet Captures การวิจัยโดเมนและ IP การค้นหาผ่านยูทิลิตี้การรวมบันทึก การวิเคราะห์มัลแวร์ และการดำเนินการตรวจสอบโฮสต์และเครือข่าย