Η Microsoft προειδοποίησε σήμερα για συνεχιζόμενες εκστρατείες ransomware που στοχεύουν οργανισμούς υγειονομικής περίθαλψης και κρίσιμες υπηρεσίες και μοιράστηκε συμβουλές σχετικά με τον τρόπο αποκλεισμού νέων παραβιάσεων, επιδιορθώνοντας ευάλωτα συστήματα.
Πολλές τέτοιες επιθέσεις ξεκινούν με τους hackers να εκμεταλλεύονται πρώτα τις ευπάθειες που εντοπίζονται σε συσκευές δικτύου Internet-facing ή από RDP servers στους οποίους προκαλούν brute-forcing και, στη συνέχεια, αναπτύσσουν τα ransomware payloads.
Για παράδειγμα, οι συσκευές Pulse VPN έχουν γίνει στόχος των hacker στο παρελθόν, με μια τέτοια ευάλωτη συσκευή να πιστεύεται ότι βρίσκεται πίσω από την επίθεση Travelex ransomware από τη Sodinokibi (REvil).
Άλλες συμμορίες ransomware, όπως οι DoppelPaymer και Ragnarok Ransomware, εκμεταλλεύτηκαν επίσης την ευπάθεια του Citrix ADC (NetScaler) CVE-2019-1978 για να αποκτήσουν ένα «στήριγμα» στο δίκτυο των θυμάτων τους.
Όπως αναφέρει η Microsoft, το τελικό στάδιο ανάπτυξης του ransomware και κρυπτογράφησης των συστημάτων προηγείται συνήθως από ένα στάδιο αναγνώρισης όπου οι εισβολείς κλέβουν δεδομένα που μπορούν αργότερα να χρησιμοποιήσουν για εκβιασμό, καθώς και συλλέγουν credentials και εισβάλλουν στα δίκτυα των θυμάτων τους.
Για να αποφευχθεί το ενδεχόμενο να συμβούν όλα αυτά, η Microsoft συμβουλεύει τα δυνητικά θύματα να αποτρέψουν τους απειλητικούς παράγοντες πίσω από τις εκστρατείες ransomware να είναι σε θέση να εκμεταλλευτούν τις αδυναμίες που συνήθως χρησιμοποιούν για να ξεκινήσουν τις επιθέσεις τους.
Μειώστε τον κίνδυνο να πέσετε θύματα των ransomware
“Η εφαρμογή ενημερωμένων εκδόσεων ασφαλείας για συστήματα internet-facing είναι κρίσιμη για την πρόληψη αυτών των επιθέσεων”, εξηγεί η Microsoft Intelligence Protection Intelligence Team.
Από δεδομένα που απέκτησε η Microsoft μετά από πρόσφατες επιθέσεις ransomware, οι κακόβουλοι παράγοντες εκμεταλλεύονται συνήθως αυτά τα κενά ασφαλείας:
• Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) ή endpoints εικονικής επιφάνειας εργασίας χωρίς έλεγχο ταυτότητας πολλών παραγόντων (MFA)
• Παλαιότερες πλατφόρμες που έχουν φτάσει στο τέλος της υποστήριξης και δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας, όπως Windows Server 2003 και Windows Server 2008, που επιδεινώθηκαν με τη χρήση αδύναμων κωδικών πρόσβασης
• Web servers με εσφαλμένη διαμόρφωση, συμπεριλαμβανομένων των IIS, του λογισμικού ηλεκτρονικής εγγραφής υγείας (EHR), των backup server ή των server διαχείρισης συστημάτων
• Συστήματα Citrix Application Delivery Controller (ADC) που επηρεάζονται από το CVE-2019-19781
• Συστήματα Pulse Secure VPN που επηρεάζονται από το CVE-2019-11510
Ενώ η Microsoft δεν έχει παρατηρήσει πρόσφατες επιθέσεις που εκμεταλλεύονται τις ευπάθειες CVE-2019-0604 (Microsoft SharePoint), CVE-2020-0688 (Microsoft Exchange), CVE-2020-10189 (Zoho ManageEngine), βάσει ιστορικών ενδείξεων, τελικά θα αξιοποιηθούν για να αποκτηθεί πρόσβαση στα δίκτυα των θυμάτων, οπότε αξίζουν να γίνουν διορθωθούν αφού περάσουν από review.
Εντοπισμός και απόκριση σε συνεχιζόμενες επιθέσεις
Οι οργανισμοί θα πρέπει επίσης να αναζητούν σημάδια μιας ενεργής επίθεσης ransomware στα περιβάλλοντά τους, όπως εργαλεία που βοηθούν τις επιθέσεις να συνδυάζονται με άλλες δραστηριότητες (π.χ. Malicious PowerShell, Cobalt Strike και άλλα εργαλεία penetration-testing), δραστηριότητες κλοπής credential ή αρχείων καταγραφής παραβιάσεων ασφαλείας.
Μόλις εντοπιστούν τέτοια σημάδια, οι ομάδες επιχειρήσεων ασφαλείας των οργανώσεων θα πρέπει να κάνουν αμέσως τις ακόλουθες ενέργειες για να αξιολογήσουν τον αντίκτυπο στην ασφάλεια και να αποτρέψουν την ανάπτυξη των payload:
• Διερευνήστε τα επηρεαζόμενα endpoints και credentials
• Απομόνωση παραβιασμένων endpoint
• Επιθεωρήστε και ανοικοδομήστε συσκευές με σχετικές μολύνσεις από malware
Η αντιμετώπιση των αδυναμιών που αντιμετωπίζουν το Internet αναζητώντας και εντοπίζοντας τυχόν περιμετρικά συστήματα που οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν ως σκαλοπάτι για να αποκτήσουν πρόσβαση στα δίκτυά τους είναι ένα άλλο σημαντικό μέτρο για την άμυνα ενάντια σε επιθέσεις ransomware.
Συστήματα που ενδέχεται να προσπαθήσουν να κάνουν κατάχρηση των εισβολέων ransomware κατά τη διάρκεια των επιθέσεων τους:
• Endpoints RDP ή εικονικής επιφάνειας εργασίας χωρίς MFA
• Συστήματα Citrix ADC που επηρεάζονται από το CVE-2019-19781
• Συστήματα Pulse Secure VPN που επηρεάζονται από το CVE-2019-11510
• Servers Microsoft SharePoint που επηρεάζονται από το CVE-2019-0604
• Servers Microsoft Exchange που επηρεάζονται από το CVE-2020-0688
• Συστήματα Zoho ManageEngine που επηρεάζονται από το CVE-2020-10189
