Οι ransomware επιθέσεις συχνά βασίζονται σε trojan για να μολύνουν υπολογιστές και να κλέψουν δεδομένα. Τέτοια trojans είναι τα Emotet και Trickbot, καθώς βοηθούν τους εγκληματίες να να διεισδύσουν σε ευαίσθητα δεδομένα, τα οποία κρατούν “όμηρο” για να ζητήσουν λύτρα. Αλλά καθώς τα ransomware κυριαρχούν στο πεδίο απειλών στον κυβερνοχώρο, οι εγκληματίες εκτελούν όλο και περισσότερες επιθέσεις χρησιμοποιώντας το Cobalt Strike, ένα κατά τα άλλα “ethical testing framework“. Μια νέα έκθεση της Cisco Talos Incident Response (CTIR) περιγράφει αυτήν τη νέα τάση.
Σύμφωνα με τη CTIR, τα ransomware εξακολουθούν να έχουν κυρίαρχη θέση στο πεδίο απειλών κατά το τελευταίο τρίμηνο. Αυτό σημαίνει ότι για πέντε συνεχόμενα τρίμηνα, κατέχουν αυτή τη θέση. Κάποια από τα πιο γνωστά ransomware είναι τα Ryuk, Maze, LockBit και Netwalker.
Μια από τις τακτικές που χρησιμοποιείται όλο και περισσότερο, τον τελευταίο καιρό, είναι η αξιοποίηση νόμιμων-ηθικών εργαλείων, όπως το Cobalt Strike, ένα ισχυρό toolkit που έχει σχεδιαστεί για δοκιμές προσομοίωσης και penetration testing.
Ωστόσο, αντί να χρησιμοποιούν το εργαλείο για ηθικούς σκοπούς (για τους οποίους και δημιουργήθηκε), οι ransomware συμμορίες το χρησιμοποιούν για να μολύνουν και να θέσουν σε κίνδυνο συστήματα από τα οποία μπορούν στη συνέχεια να κλέψουν και να ελέγξουν δεδομένα. Το περασμένο τρίμηνο, το 66% όλων των ransomware επιθέσεων περιελάμβαναν το Cobalt Strike, ανέφερε η έκθεση.
Σε ένα παράδειγμα που ανέφερε η CTIR, μια εταιρεία μολύνθηκε από το LockBit ransomware. Οι επιτιθέμενοι χρησιμοποίησαν το Cobalt Strike. Έπειτα, χρησιμοποιώντας ένα εργαλείο ανοιχτού κώδικα που ονομάζεται “CrackMapExecWin“, μπόρεσαν να εξερευνήσουν μεγάλα Active Directory networks και ανάγκασαν όλα τα συστήματα στο δίκτυο να πραγματοποιήσουν μια ενημέρωση.
Στη συνέχεια, η ενημέρωση δημιούργησε μια υπηρεσία για την εκτέλεση του ransomware από έναν παραβιασμένο διακομιστή. Οι λογαριασμοί χρηστών δημιουργήθηκαν στους υπολογιστές που είχαν παραβιαστεί, τους οποίους χρησιμοποίησαν οι εισβολείς για να ξεκινήσουν απομακρυσμένες συνδέσεις. Η ransomware συμμορία χρησιμοποίησε, επίσης, το TeamViewer για να κλέψει πληροφορίες και για να διαγράψει τα ίχνη της παραβίασης.
Τα δεδομένα που εξήχθησαν από αυτήν την επίθεση δημοσιεύτηκαν στο site διαρροής του Maze ransomware.
“Ένας λόγος για τον οποίο βλέπουμε τόσο μεγάλη δραστηριότητα του Cobalt Strike αυτήν τη στιγμή είναι γιατί βοηθά στα malware“, δήλωσε η Amy Henderson, μέλος της CTIR. “Οι επιτιθέμενοι το χρησιμοποιούν για να συμπληρώσουν τυχόν κενά που έχουν ή για γρήγορη και αποτελεσματική κατασκευή, ώστε να μπορούν να επικεντρωθούν στα πιο κερδοφόρα και περίπλοκα μέρη της επίθεσής τους“.
Η χρήση του Cobalt Strike εμφανίζεται όχι μόνο σε ransomware αλλά και σε άλλους τύπους διαδικτυακών επιθέσεων. Επίσης, η χρήση του Cobalt Strike beacons, που μπορεί να μιμηθεί το νόμιμο traffic, μπορεί να είναι ένας λόγος για τον οποίο το toolkit είναι ελκυστικό στους εγκληματίες.
Στις περισσότερες περιπτώσεις, οι επιτιθέμενοι έχουν ήδη παραβιάσει το σύστημα ενός θύματος και χρησιμοποιούν μετά το εργαλείο.
Το Cobalt Strike έχει επίσης μια σειρά από χαρακτηριστικά και δυνατότητες που μπορούν να εκμεταλλευτούν οι ransomware συμμορίες και άλλοι επιτιθέμενοι.
Σύμφωνα με την CTIR, ένα άλλο ethical toolkit που χρησιμοποιείται επίσης για κακούς σκοπούς είναι το Telerik UI framework. Συνήθως, χρησιμοποιείται για την ανάπτυξη λογισμικού, αλλά πρόσφατα ανακαλύφθηκε ότι έχει μια ευπάθεια (CVE-2019-18935) που θα μπορούσε να επιτρέψει την εκτέλεση κώδικα απομακρυσμένα. Μια τέτοια ευπάθεια μπορεί να είναι ιδιαίτερα επικίνδυνη, καθώς πολλές εφαρμογές ASP.NET ενδέχεται να εκτελούν παλαιότερες εκδόσεις του Telerik UI που είναι ευάλωτες στην ευπάθεια και άρα θέτουν τους χρήστες σε κίνδυνο.
Σε ένα παράδειγμα, ένας επιτιθέμενος χτύπησε τον διακομιστή μιας τεχνολογικής εταιρείας και κατάφερε μέσω του toolkit να εκτελέσει κακόβουλες εντολές, που οδήγησαν σε επίθεση ransomware.
Πώς να προστατεύσετε τον οργανισμό σας από ransomware επιθέσεις;
Χρησιμοποιήστε μια ισχυρή λύση προστασίας email: Το email εξακολουθεί να είναι το πρώτο στάδιο επίθεσης (στις περισσότερες περιπτώσεις), επομένως οι οργανισμοί πρέπει να έχουν ισχυρά προγράμματα προστασίας email. Αυτό περιλαμβάνει και την εκπαίδευση των υπαλλήλων για τον εντοπισμό και την αναφορά προηγμένων phishing επιθέσεων.
Εφαρμόστε σωστές πολιτικές: Εφαρμόστε πολιτικές που περιορίζουν την πρόσβαση ορισμένων χρηστών σε εφαρμογές PowerShell ή CMD και άλλες σημαντικές εφαρμογές. Τέτοιες πολιτικές θα πρέπει να εμποδίζουν τους επιτιθέμενους να αποκτήσουν περαιτέρω προνόμια, ώστε να μην μπορούν να εξαπλωθούν στα δίκτυα.
Εφαρμόστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων: Χρησιμοποιείστε μεθόδους ελέγχου ταυτότητας, για να βάλετε περισσότερα εμπόδια στους hackers.
Δημιουργήστε αντίγραφα ασφαλείας για τα κρίσιμα δεδομένα: Βεβαιωθείτε ότι έχετε αντίγραφα ασφαλείας των σημαντικών δεδομένων σας, που δεν μπορούν να τροποποιηθούν με τη χρήση domain credentials. Αυτό σημαίνει ότι πρέπει να δημιουργήσετε αντίγραφα ασφαλείας offline ή να χρησιμοποιήσετε άλλες μεθόδους για την προστασία των αντιγράφων. Τα online αντίγραφα ασφαλείας αποτελούν στόχο των hackers πριν την πραγματοποίηση της ransomware επίθεσης, ώστε το θύμα να μην μπορεί να αποκαταστήσει τη ζημιά μόνο του. Η κατοχή ασφαλών αντιγράφων ασφαλείας είναι απαραίτητη ώστε τα θύματα να μπορούν να ανακτήσουν τα δεδομένα τους, χωρίς να πληρώσουν τα λύτρα.