Η Microsoft έχει αναλύσει τις τακτικές και τις τεχνικές μερικών πολύ δαπανηρών ransomware που κυκλοφορούν τα τελευταία χρόνια, τα οποία δεν είναι αυτοματοποιημένα αλλά ελέγχονται χειροκίνητα.
Προειδοποιεί ότι μερικές από τις ομάδες των ransomware χρησιμοποιούν τις ιδιότητες που χρησιμοποιούν οι hackers που χρηματοδοτούνται από το κράτος και παρουσιάζουν μια “εκτεταμένη γνώση της διαχείρισης των συστημάτων και των τεχνικών ασφαλείας” και στη συνέχεια, παρέχουν “καταστροφικά” ransomware payloads.
“Με βάση τις έρευνές μας, αυτές οι εκστρατείες έχουν δείξει ότι θα μπορούσαν να λειτουργήσουν απεριόριστα στα δίκτυα”, δήλωσε η Microsoft.
Οι παραλλαγές ransomware που περιλαμβάνονται στην έρευνα της Microsoft είναι οι REvil, Samas ή SamSam, Doppelpaymer, Bitpaymer και Ryuk. Η μέση ζήτηση λύτρων για το REvil ransomware είναι $ 260.000, καθιστώντας το ransomware «big game» λόγω των επιλεγμένων στόχων και των μεγάλων ποσών που απαιτεί. Η Αμερικανική EMCOR Group ανακοίνωσε αυτή την εβδομάδα ότι το ransomware Ryuk επηρέασε τα έσοδα του Q4 του 2019 λόγω του χρόνου διακοπής της λειτουργίας του.
Η Microsoft παρακολουθεί εδώ και 18 μήνες μια άλλη ομάδα malware που ονομάζεται Parinacota (η Microsoft χρησιμοποιεί ονόματα ηφαιστείων για να κατονομάσει τους κυβερνοεγκληματίες). Έχουν χακάρει συστήματα για να εγκαταστήσουν τους miners κρυπτοσυχνοτήτων και να στείλουν spam, αλλά πρόσφατα άρχισαν να αναπτύσσουν Wadhrama ransomware σε εταιρικά δίκτυα σε επιθέσεις “smash and grab” απαιτώντας λύτρα.
Το Parinacota χρησιμοποιεί ως επί το πλείστον RDP brute force επιθέσεις για να εισέλθει, σαρώνοντας το διαδίκτυο για ευάλωτες συσκευές και δοκιμάζοντας μια λίστα δημοφιλών κωδικών πρόσβασης.
Η Microsoft έχει εντοπίσει μια μοναδική τακτική που χρησιμοποιεί η ομάδα. Αφού αποκτήσουν πρόσβαση σε ένα δίκτυο, οι επιτιθέμενοι δοκιμάζουν το compromised μηχάνημα για συνδεσιμότητα στο διαδίκτυο και επεξεργαστική ικανότητα, σύμφωνα με την ομάδα Microsoft Threat Protection Intelligence Team.
“Καθορίζουν αν η μηχανή πληροί συγκεκριμένες απαιτήσεις πριν τη χρησιμοποιήσει για να εκτελέσει επιθέσεις brute force RDP σε σχέση με άλλους στόχους. Αυτή η τακτική, η οποία δεν παρατηρήθηκε ότι χρησιμοποιείται από παρόμοιους χειριστές ransomware, τους δίνει πρόσβαση σε πρόσθετη υποδομή λιγότερο πιθανό να μπλοκαριστεί. Στην πραγματικότητα, η ομάδα έχει παρατηρηθεί αφήνοντας τα εργαλεία τους να τρέχουν σε συμβιβασμένα μηχανήματα για μήνες στο τέλος “, λέει η ομάδα σε ένα post.
Χρησιμοποιώντας τα κλεμμένα credentials στην επίθεση, η ομάδα χρησιμοποιεί επίσης δικαιώματα admin για να μην αφήσει τις υπηρεσίες ασφαλείας να ανιχνεύσουν τις ενέργειές της και έπειτα κατεβάζει ένα ZIP αρχείο γεμάτο με τα εργαλεία του hacker όπως το Mimikatz και το εργαλείο Sysinternals ProcDump για τα επόμενα στάδια της επίθεσης αποκρύπτοντας τα credentials.
Λόγω όλων αυτών των εργασιών, οι οργανώσεις που καταφέρνουν να καθαρίσουν ένα Wadhrama injection συχνά δεν μπορούν να αφαιρέσουν πλήρως τους μηχανισμούς που επιμένουν, αφήνοντας τον στόχο ευάλωτο σε επαναμόλυνση.
Η ομάδα χρεώνει μεταξύ 0,5 και 2 Bitcoins ($ 4,500 έως $ 18,268) ανά κατεστραμμένο μηχάνημα. Οι επιτιθέμενοι προσαρμόζουν τη ζήτηση στο πόσο κρίσιμο είναι το μηχάνημα.
Μέρος του σημείου της ανάρτησης της Microsoft είναι να εξηγεί γιατί οι ομάδες ασφαλείας θα πρέπει να ενεργοποιούν τις λειτουργίες που είναι διαθέσιμες στο Windows Defender ATP.
Το Ryuk είναι ένα άλλο παράδειγμα ανθρώπινου ransomware που εισέρχεται συχνά σε δίκτυα μέσω του trojan Trickbot.
Η Microsoft σημειώνει ότι το Trickbot θεωρείται συχνά ως απειλή χαμηλής προτεραιότητας και επομένως δεν απομονώνεται αμέσως.
Το Trickbot και οι διαχειριστές Ryuk επωφελούνται επίσης από τους χρήστες που λειτουργούν ως τοπικοί διαχειριστές σε περιβάλλοντα και χρησιμοποιούν αυτά τα δικαιώματα για να απενεργοποιήσουν τα εργαλεία ασφαλείας που θα παρεμπόδιζαν τις ενέργειές τους “, σημείωσαν.
Ορισμένες εταιρείες έχουν καταστήσει αυτές τις επιθέσεις ευκολότερες αποδυναμώνοντας την εσωτερική τους ασφάλεια. Η Microsoft δήλωσε ότι μερικές επιτυχημένες καμπάνιες ransomware που διεξάγονται manually έχουν αντιμετωπίσει servers που διαθέτουν antivirus software και άλλες ασφάλειες που έχουν απενεργοποιηθεί εκ προθέσεως, τα οποία οι διαχειριστές ενδέχεται να έχουν κάνει για να βελτιώσουν την απόδοση. “Οι ίδιοι servers συχνά δεν διαθέτουν προστασία firewall και MFA, έχουν αδύναμα domain credentials και χρησιμοποιούν μη τυχαιοποιημένους τοπικούς admin κωδικούς πρόσβασης”, ανέφερε.
