Μια ransomware συμμορία εγκατέστησε remote desktop software σε περισσότερα από 100 μηχανήματα σε ένα δίκτυο, ωστόσο τα σχέδιά της να κρυπτογραφήσει το δίκτυο απέτυχαν την τελευταία στιγμή, αφού ειδικοί από τον κλάδο της κυβερνοασφάλειας κλήθηκαν σε μια εταιρεία όταν εντοπίστηκε ύποπτο software στο δίκτυό της.
Οι προσπάθειες των κυβερνοεγκληματιών να θέσουν τα θεμέλια για μια ransomware επίθεση, που είχαν ως αποτέλεσμα την εγκατάσταση νόμιμου remote desktop software σε 130 endpoints, ανακαλύφθηκαν όταν η εταιρεία ασφαλείας “Sophos” κλήθηκε να ερευνήσει την εταιρεία (της οποίας η ταυτότητα παραμένει άγνωστη), μετά την ανίχνευση του Cobalt Strike στο δίκτυό της.
Το Cobalt Strike είναι ένα νόμιμο penetration testing εργαλείο, το οποίο όμως χρησιμοποιείται συνήθως από κυβερνοεγκληματίες στα πρώτα στάδια μιας ransomware επίθεσης. Ένας από τους λόγους που το χρησιμοποιούν, είναι ότι λειτουργεί εν μέρει στη μνήμη, καθιστώντας δύσκολο τον εντοπισμό της κακόβουλης δραστηριότητας.
Διαβάστε επίσης: CISA: Κυκλοφορεί εργαλείο αυτοαξιολόγησης ασφάλειας για ransomware
Η συμμορία είχε ως στόχο να κρυπτογραφήσει όσο το δυνατόν μεγαλύτερο μέρος του δικτύου της εταιρείας με το REVil ransomware, αλλά επειδή οι χάκερς εντοπίστηκαν προτού μπορέσουν να ολοκληρώσουν τις προετοιμασίες τους, η επίθεση δεν στέφθηκε από επιτυχία – αν και οι χάκερς κατάφεραν να κρυπτογραφήσουν δεδομένα που περιέχονταν σε κάποιες μη προστατευμένες συσκευές και να διαγράψουν τα online backups, αφότου διαπίστωσαν ότι έγιναν αντιληπτοί από τους ερευνητές.
Ένα σημείωμα λύτρων που άφησε η συμμορία του REvil σε μία από τις λίγες συσκευές που κρυπτογραφήθηκαν, ζητούσε λύτρα ύψους 2,5 εκατομμυρίων δολαρίων σε Bitcoin, για να παράσχει στην εταιρεία – θύμα ένα κλειδί αποκρυπτογράφησης. Ωστόσο, η εταιρεία δεν πλήρωσε τα λύτρα.
Παρόλα αυτά, οι επιτιθέμενοι κατάφεραν να αποκτήσουν σε μεγάλο βαθμό τον έλεγχο του δικτύου και να εγκαταστήσουν software σε περισσότερα από 100 μηχανήματα – και η εταιρεία που στοχεύτηκε δεν το πρόσεξε.
«Ως αποτέλεσμα της πανδημίας, δεν είναι ασυνήθιστο να βρίσκουμε εφαρμογές απομακρυσμένης πρόσβασης εγκατεστημένες σε συσκευές υπαλλήλων. Όταν είδαμε το Screen Connect σε 130 endpoints, υποθέσαμε ότι βρισκόταν εκεί σκόπιμα, για την υποστήριξη ατόμων που εργάζονταν από το σπίτι. Αποδείχθηκε ότι η εταιρεία δεν ήξερε τίποτα γι’ αυτό – οι επιτιθέμενοι είχαν εγκαταστήσει το software για να διασφαλίσουν ότι θα μπορούσαν να διατηρήσουν την πρόσβαση στο δίκτυο και στις παραβιασμένες συσκευές», δήλωσε ο Paul Jacobs, επικεφαλής απόκρισης συμβάντων στη Sophos.
Δείτε ακόμη: Golang: Νέο ransomware δείχνει ότι οι χάκερς τη χρησιμοποιούν όλο και περισσότερο
Αυτή ήταν μόνο μία από τις πολλές μεθόδους που χρησιμοποίησαν οι χάκερς για να διατηρήσουν την επιρροή τους στο δίκτυο, συμπεριλαμβανομένης της δημιουργίας δικών τους λογαριασμών διαχειριστή.
Κι εδώ προκύπτει το εξής ερώτημα: Πώς μπήκαν οι χάκερς στο δίκτυο για να χρησιμοποιήσουν το Colbalt Strike, να δημιουργήσουν λογαριασμούς απομακρυσμένης πρόσβασης και να αποκτήσουν δικαιώματα διαχειριστή;
«Από όσα έχουμε δει στις έρευνές μας, υπάρχει μια ποικιλία μεθόδων που χρησιμοποιούνται, συνήθως οι χρήστες πέφτουν θύματα phishing εβδομάδες ή μήνες νωρίτερα, μετά ακολουθεί εκμετάλλευση λόγω ευπαθειών σε firewall και VPN ή brute-force επιθέσεις στο RDP, εάν εκτίθεται στο Διαδίκτυο», επεσήμανε ο Peter Mackenzie, διευθυντής άμεσης απόκρισης στη Sophos.
Σε αυτήν την περίπτωση, η απόπειρα ransomware επίθεσης δεν ήταν επιτυχής, αλλά το ransomware είναι τόσο παραγωγικό αυτή τη στιγμή, που οι οργανισμοί πέφτουν συχνά θύματα αυτού. Το REvil, το ransomware που χρησιμοποιήθηκε στο περιστατικό που διερεύνησε η Sophos, αναπτύχθηκε στην επιτυχή ransomware επίθεση εναντίον της JBS, με τους χάκερς που βρίσκονται πίσω από αυτό να αποκομίζουν 11 εκατομμύρια δολάρια σε Bitcoin.
Πρόταση: Conti ransomware: Χτυπά στην Ελλάδα πολλές εταιρείες και οργανισμούς!
Ωστόσο, υπάρχουν μέτρα που μπορούν να λάβουν όλοι οι οργανισμοί, ώστε να μην αποκτήσουν χάκερς πρόσβαση στο δίκτυό τους.
Συγκεκριμένα, ο Mackenzie ανέφερε τα ακόλουθα: «Πρώτον, βεβαιωθείτε ότι κάθε υπολογιστής στο δίκτυό σας έχει εγκατεστημένο και κεντρικά διαχειριζόμενο software ασφαλείας. Οι επιτιθέμενοι στοχεύουν τα μη προστατευμένα μηχανήματα. Στη συνέχεια, βεβαιωθείτε ότι λαμβάνουν τακτικά patches και να έχετε υπόψη ότι εάν ένας υπολογιστής δεν έχει κάνει reboot για ένα χρόνο, τότε πιθανώς δεν έχει επίσης λάβει patches».
Όμως, ενώ η σωστή χρήση της τεχνολογίας μπορεί να συμβάλει στην προστασία από κυβερνοεπιθέσεις, είναι επίσης χρήσιμο να παρακολουθείτε το δίκτυο. Άτομα που κατανοούν σωστά τί υπάρχει στο δίκτυο, μπορούν να ανιχνεύσουν και να αντιδράσουν σε οποιαδήποτε δυνητικά ύποπτη δραστηριότητα – όπως η χρήση του Colbalt Strike, η οποία είχε ως αποτέλεσμα την ανακάλυψη της ransomware επίθεσης, που περιγράφεται σε αυτήν την περίπτωση, προτού γίνει σοβαρή ζημιά.
Τέλος, ο Mackenzie σημείωσε το εξής: «Για την καλύτερη κυβερνοασφάλεια, χρειάζεστε ανθρώπους που να παρακολουθούν τί συμβαίνει και να αντιδρούν σε αυτό σε πραγματικό χρόνο, αυτό μπορεί να κάνει τη μεγαλύτερη διαφορά.»
Πηγή πληροφοριών: zdnet.com
