Οι απειλητικοί παράγοντες μπορεί να εκμεταλλευτούν τις αδυναμίες του δικτύου για να δημιουργήσουν «εισόδους», κρατώντας ανοιχτή την «πόρτα» και να επιστρέψουν ακόμη και μήνες μετά την αρχική παραβίαση – ένα παράδειγμα είναι η Lorenz ransomware επίθεση που ήταν επιτυχής, μήνες μετά την αρχική πρόσβαση στο δίκτυο.
Ένα σημαντικό ελάττωμα στο τηλεφωνικό σύστημα κατέστησε δυνατή αυτή την επίθεση. Οι ειδικοί στην ασφάλεια των υπολογιστών προειδοποιούν ότι ένα απλό patch στις ευπάθειες – που επιτρέπουν μη εξουσιοδοτημένη πρόσβαση σε ένα δίκτυο – δεν αρκεί για την προστασία από ransomware επιθέσεις.
Δείτε επίσης: Η Auth0 έφτιαξε το RCE «σφάλμα» στη JsonWebToken βιβλιοθήκη
Η επίθεση ξεκίνησε πολύ πριν το update
Οι ερευνητές της S-RM, μιας παγκόσμιας εταιρείας παροχής συμβουλών σε θέματα πληροφοριών και ασφάλειας στον κυβερνοχώρο, διαπίστωσαν ότι κατά τη διάρκεια της αντιμετώπισης μιας Lorenz ransomware επίθεσης, οι χάκερ είχαν ήδη διεισδύσει στο δίκτυο του θύματος εδώ και πέντε μήνες προτού κλέψουν τα δεδομένα και κρυπτογραφήσουν τα συστήματα.
Διαπίστωσαν ότι το αρχικό σημείο εισόδου για τους χάκερς ήταν μια κρίσιμη ευπάθεια στην υποδομή τηλεφωνίας της Mitel, που ονομάζεται CVE-2022-29499, η οποία επιτρέπει την απομακρυσμένη εκτέλεση κώδικα. Η ευπάθεια αποκαλύφθηκε κατά τη διάρκεια μιας έρευνας της εταιρείας CrowdStrike Services για «πιθανή απόπειρα εισβολής ransomware» πέρυσι.
Δείτε επίσης: Dridex malware: Επέστρεψε μολύνοντας Mac υπολογιστές
Οι ερευνητές της S-RM ανακάλυψαν ότι, ενώ ο client είχε εγκαταστήσει το patch για να διορθώσει την ευπάθεια CVE-2022-29499 τον Ιούλιο, οι χάκερ του ransomware Lorenz κατάφεραν να εκμεταλλευτούν την ευπάθεια και να εγκαταστήσουν ένα backdoor στο σύστημα μια εβδομάδα πριν από την εφαρμογή του update.
Παρά το γεγονός ότι το σύστημα δεν διέθετε πλέον ευάλωτες σελίδες, η ανάλυση αποκάλυψε ότι οι χάκερ είχαν πρόσβαση σε αυτές όταν δημιουργήθηκε το Web shell στο μηχάνημα του θύματος.
Το web shell, το οποίο είναι μια μόνο γραμμή κώδικα PHP, μπορεί να ακούει HTTP POST αιτήσεις με δύο παραμέτρους: “id” και “img“. Μαζί με random strings, το “id” λειτουργεί ως credential για την πρόσβαση στο σύστημα και το “img” περιλαμβάνει τις εντολές που πρέπει να εκτελεστούν.
Το web shell παρέμεινε αδρανές στο δίκτυο του θύματος για πέντε μήνες. Όταν οι χάκερ ήταν έτοιμοι να πραγματοποιήσουν την επίθεση, χρησιμοποίησαν το εν λόγω backdoor για να αναπτύξουν το Lorenz ransomware μέσα σε μόλις 48 ώρες.
Οι χάκερ προσπάθησαν να κρύψουν το backdoor δίνοντάς του το όνομα “twitter_icon_<ransom string>” και τοποθετώντας την σε έναν φαινομενικά σωστό directory.
Έλεγχος πριν γίνουν τα updates
Οι ερευνητές της S-RM πιστεύουν ότι η παρατεταμένη περίοδος αδράνειας υποδηλώνει ότι κάποια ransomware συμμορία μπορεί να έχει αποκτήσει πρόσβαση στο δίκτυο του θύματος αγοράζοντας την από τρίτους.
Μια άλλη θεωρία είναι ότι η ομάδα Lorenz είναι πολύ καλά οργανωμένη και διαθέτει ένα «εξειδικευμένο παράρτημα» που εκείνο αποκτά την αρχική πρόσβαση και τη διασφαλίζει από κάθε πιθανή πειρατεία από άλλους εγκληματίες του κυβερνοχώρου.
Οι Tim Geschwindt και Ailsa Wood, οι ερευνητές της S-RM, δηλώνουν ότι οι απειλητικοί παράγοντες συνήθως εκμεταλλεύονται τις νέες ευπάθειες και καταβάλλουν προσπάθειες για να βρουν και να διεισδύσουν σε όσο το δυνατόν περισσότερα – μη επιδιορθωμένα ακόμα – συστήματα στο διαδίκτυο, προτού επιστρέψουν αργότερα για να συνεχίσουν την επίθεσή τους.
Για το λόγο αυτό, οι δυο ερευνητές τονίζουν ότι, ενώ η ενημέρωση του λογισμικού είναι ένα σημαντικό βήμα για την προστασία του δικτύου, οι εταιρείες θα πρέπει επίσης να λαμβάνουν πρόσθετα μέτρα για την αντιμετώπιση κρίσιμων ευπαθειών.
Αυτό περιλαμβάνει τη διενέργεια ενδελεχούς πιθανές εισβολές, καθώς και την παρακολούθηση των αρχείων καταγραφής (logs) για ασυνήθιστα μοτίβα που μπορεί να υποδεικνύουν εισβολή ακόμη και μετά την εφαρμογή της ενημερώσεων ασφαλείας.
Πηγή πληροφοριών: bleepingcomputer.com
