Ransomware επίθεση απέτυχε την τελευταία στιγμή. Πώς την ανακάλυψαν;
Μια
ransomware συμμορία
εγκατέστησε
remote desktop software
σε
περισσότερα από 100 μηχανήματα σε ένα δίκτυο
, ωστόσο τα σχέδιά της να κρυπτογραφήσει το δίκτυο
απέτυχαν
την τελευταία στιγμή, αφού
ειδικοί
από τον κλάδο της κυβερνοασφάλειας κλήθηκαν σε μια
εταιρεία
όταν εντοπίστηκε ύποπτο software στο δίκτυό της.
Οι προσπάθειες των κυβερνοεγκληματιών να θέσουν τα
θεμέλια για μια
ransomware
επίθεση
, που είχαν ως αποτέλεσμα την
εγκατάσταση νόμιμου remote desktop software σε 130 endpoints
, ανακαλύφθηκαν όταν η
εταιρεία
ασφαλείας
“Sophos”
κλήθηκε να ερευνήσει την
εταιρεία
(της οποίας η ταυτότητα παραμένει άγνωστη), μετά την
ανίχνευση
του
Cobalt Strike
στο δίκτυό της
.
Το
Cobalt Strike
είναι ένα
νόμιμο penetration testing
εργαλείο
, το οποίο όμως χρησιμοποιείται συνήθως από
κυβερνοεγκληματίες
στα
πρώτα στάδια μιας ransomware επίθεσης
. Ένας από τους λόγους που το χρησιμοποιούν, είναι ότι λειτουργεί εν μέρει στη μνήμη, καθιστώντας
δύσκολο τον εντοπισμό
της κακόβουλης δραστηριότητας.
Διαβάστε επίσης:
CISA: Κυκλοφορεί
εργαλείο
αυτοαξιολόγησης ασφάλειας για ransomware
Ransomware
επίθεση
απέτυχε την τελευταία στιγμή. Πώς την ανακάλυψαν;
Η συμμορία είχε ως
στόχο να κρυπτογραφήσει όσο το δυνατόν μεγαλύτερο μέρος του δικτύου
της εταιρείας με το
REVil ransomware
, αλλά επειδή οι
χάκερς
εντοπίστηκαν προτού μπορέσουν να ολοκληρώσουν τις προετοιμασίες τους, η
επίθεση
δεν στέφθηκε από επιτυχία
– αν και οι
χάκερς
κατάφεραν να κρυπτογραφήσουν
δεδομένα
που περιέχονταν σε κάποιες μη προστατευμένες
συσκευές
και
να διαγράψουν τα online backups
, αφότου διαπίστωσαν ότι έγιναν αντιληπτοί από τους ερευνητές.
Ένα
σημείωμα λύτρων
που άφησε η συμμορία του REvil σε μία από τις λίγες
συσκευές
που κρυπτογραφήθηκαν, ζητούσε
λύτρα ύψους 2,5 εκατομμυρίων δολαρίων σε Bitcoin
, για να παράσχει στην
εταιρεία
– θύμα ένα
κλειδί αποκρυπτογράφησης
. Ωστόσο,
η
εταιρεία
δεν πλήρωσε τα λύτρα
.
Παρόλα αυτά, οι επιτιθέμενοι
κατάφεραν να αποκτήσουν σε μεγάλο βαθμό τον έλεγχο
του δικτύου
και να εγκαταστήσουν software
σε περισσότερα από 100 μηχανήματα – και η
εταιρεία
που στοχεύτηκε δεν το πρόσεξε.
«Ως αποτέλεσμα της πανδημίας, δεν είναι ασυνήθιστο να βρίσκουμε
εφαρμογές
απομακρυσμένης πρόσβασης εγκατεστημένες σε
συσκευές
υπαλλήλων. Όταν είδαμε το Screen Connect σε 130 endpoints, υποθέσαμε ότι βρισκόταν εκεί σκόπιμα, για την υποστήριξη ατόμων που εργάζονταν από το σπίτι. Αποδείχθηκε ότι η
εταιρεία
δεν ήξερε τίποτα γι’ αυτό – οι επιτιθέμενοι είχαν εγκαταστήσει το software για να διασφαλίσουν ότι θα μπορούσαν να διατηρήσουν την πρόσβαση στο δίκτυο και στις παραβιασμένες
συσκευές
»
, δήλωσε ο Paul Jacobs, επικεφαλής απόκρισης συμβάντων στη Sophos.
Δείτε ακόμη:
Golang: Νέο ransomware δείχνει ότι οι
χάκερς
τη χρησιμοποιούν όλο και περισσότερο
Ransomware
επίθεση
απέτυχε την τελευταία στιγμή. Πώς την ανακάλυψαν;
Αυτή ήταν μόνο μία από τις πολλές μεθόδους
που χρησιμοποίησαν οι
χάκερς
για να διατηρήσουν την
επιρροή
τους στο δίκτυο, συμπεριλαμβανομένης της
δημιουργίας δικών τους λογαριασμών διαχειριστή
.
Κι εδώ προκύπτει το εξής ερώτημα:
Πώς μπήκαν οι
χάκερς
στο δίκτυο για να χρησιμοποιήσουν το Colbalt Strike, να δημιουργήσουν
λογαριασμούς
απομακρυσμένης πρόσβασης και να αποκτήσουν
δικαιώματα
διαχειριστή;
«Από όσα έχουμε δει στις έρευνές μας, υπάρχει μια ποικιλία μεθόδων που χρησιμοποιούνται, συνήθως οι
χρήστες
πέφτουν
θύματα
phishing εβδομάδες ή μήνες νωρίτερα, μετά ακολουθεί
εκμετάλλευση
λόγω ευπαθειών σε firewall και VPN ή brute-force
επιθέσεις
στο RDP, εάν εκτίθεται στο Διαδίκτυο»
, επεσήμανε ο Peter Mackenzie,
διευθυντής
άμεσης απόκρισης στη Sophos.
Σε αυτήν την περίπτωση, η απόπειρα ransomware επίθεσης δεν ήταν επιτυχής, αλλά
το ransomware είναι τόσο παραγωγικό αυτή τη στιγμή, που οι
οργανισμοί
πέφτουν συχνά
θύματα
αυτού.
Το REvil, το ransomware που χρησιμοποιήθηκε στο περιστατικό που διερεύνησε η Sophos, αναπτύχθηκε στην επιτυχή
ransomware
επίθεση
εναντίον της JBS, με τους
χάκερς
που βρίσκονται πίσω από αυτό να αποκομίζουν 11 εκατομμύρια δολάρια σε Bitcoin.
Πρόταση:
Conti ransomware
: Χτυπά στην Ελλάδα πολλές
εταιρείες
και οργανισμούς!
Ransomware
επίθεση
απέτυχε την τελευταία στιγμή. Πώς την ανακάλυψαν;
Ωστόσο, υπάρχουν
μέτρα
που μπορούν να λάβουν όλοι οι
οργανισμοί
, ώστε να μην αποκτήσουν
χάκερς
πρόσβαση στο δίκτυό τους.
Συγκεκριμένα, ο Mackenzie ανέφερε τα ακόλουθα: «
Πρώτον, βεβαιωθείτε ότι κάθε
υπολογιστής
στο δίκτυό σας έχει εγκατεστημένο και κεντρικά διαχειριζόμενο software
ασφαλείας
. Οι επιτιθέμενοι στοχεύουν τα μη προστατευμένα μηχανήματα. Στη συνέχεια, βεβαιωθείτε ότι λαμβάνουν τακτικά patches και να έχετε υπόψη ότι εάν ένας
υπολογιστής
δεν έχει κάνει reboot για ένα χρόνο, τότε πιθανώς δεν έχει επίσης λάβει patches».
Όμως, ενώ η σωστή χρήση της τεχνολογίας μπορεί να συμβάλει στην
προστασία
από
κυβερνοεπιθέσεις
,
είναι επίσης χρήσιμο να παρακολουθείτε το δίκτυο
. Άτομα που κατανοούν σωστά τί υπάρχει στο δίκτυο, μπορούν να ανιχνεύσουν και να αντιδράσουν σε οποιαδήποτε δυνητικά ύποπτη δραστηριότητα – όπως η χρήση του Colbalt Strike, η οποία είχε ως αποτέλεσμα την
ανακάλυψη
της ransomware επίθεσης, που περιγράφεται σε αυτήν την περίπτωση, προτού γίνει σοβαρή ζημιά.
Τέλος, ο Mackenzie σημείωσε το εξής:
«Για την καλύτερη
κυβερνοασφάλεια
, χρειάζεστε ανθρώπους που να παρακολουθούν τί συμβαίνει και να αντιδρούν σε αυτό σε πραγματικό χρόνο, αυτό μπορεί να κάνει τη μεγαλύτερη διαφορά.»
Πηγή πληροφοριών: zdnet.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.