Изследователите на киберсигурността описват подробно какво са открили по време на разследване на опит за атака с ransomware - и какво могат да научат други организации, за да избегнат да станат жертви.
Банда за рансъмуер инсталира софтуер за отдалечен работен плот на над 100 машини в мрежа и плановете им да криптират мрежата бяха осуетени само в последния момент, когато експерти по киберсигурност бяха извикани в компания, след като в нейния беше открит подозрителен софтуер мрежа.
Усилията на престъпниците да положат основите на a ransomware атака, което доведе до инсталирането на законен софтуер за отдалечен достъп на 130 крайни точки, бяха открити, когато компанията за сигурност Sophos беше привлечена да разследва неназованата компания след Кобалтов удар беше открит в неговата мрежа.
ZDNET Препоръчва
Най-добрите сертификати за киберсигурност
Тези сертификати могат да ви помогнат да навлезете в индустрия с голямо търсене на квалифициран персонал.
Прочетете сегаCobalt Strike е легитимен инструмент за тестване на проникване, но обикновено се използва от киберпрестъпници в ранните етапи на ransomware атака. Една от причините да се използва от киберпрестъпниците е, че частично работи в паметта, което го прави труден за откриване.
ВИЖ: Киберсигурност: Нека да тактически (Специална характеристика на ZDNet/TechRepublic) | Изтеглете безплатната PDF версия (TechRepublic)
Целта на бандата беше да криптира възможно най-голяма част от мрежата REvil рансъмуер, но тъй като киберпрестъпниците бяха разкрити, преди да успеят да финализират подготовката си, атаката не беше успешна – въпреки че те успяха да криптират данни на някои незащитени устройства и изтриха онлайн резервни копия, след като забелязаха, че са били забелязани от следователи.
Бележка за откуп, оставена от REvil на едно от малкото устройства, които са криптирани, разкрива искане от 2,5 милиона долара биткойн за ключ за дешифриране – въпреки че това не беше платено.
Но нападателите са успели да придобият достатъчно контрол върху мрежата, за да инсталират софтуер на над 100 машини – и компанията, която е била набелязана, не е забелязала.
„В резултат на пандемията не е необичайно да се намерят приложения за отдалечен достъп, инсталирани на устройствата на служителите“, каза Пол Джейкъбс, ръководство за реакция при инциденти в Sophos.
„Когато видяхме Screen Connect на 130 крайни точки, предположихме, че е там умишлено, за да поддържа хората, работещи от вкъщи. Оказа се, че компанията не знае нищо за това – нападателите са инсталирали софтуера, за да гарантират, че могат да поддържат достъп до мрежата и компрометираните устройства.
Това беше само един от няколкото метода, които киберпрестъпниците използваха, за да поддържат контрола си върху мрежата, включително създаване на свои собствени администраторски акаунти.
Но как изобщо киберпрестъпниците са влезли в мрежата, за да използват Colbalt Strike, да настроят акаунти за отдалечен достъп и да получат администраторски привилегии?
„От това, което сме видели в нашите разследвания, има различни използвани методи, най-често това са потребителите, които са били измамвани често седмици или месеци по-рано, след това има експлоатация над защитна стена и VPN уязвимости или грубо форсиране на RDP, ако е изложено на интернет“, каза Питър Макензи, мениджър на SophosRapid Response пред ZDNet.
ZDNET Препоръчва
Най-добрите сертификати за етично хакерство
Да станеш сертифициран етичен хакер може да доведе до възнаграждаваща кариера. Ето нашите препоръки за най-добрите сертификати.
Прочетете сегаВ този случай опитът за атака с ransomware не беше успешен, но ransomware е толкова разпространен в момента, че организациите редовно стават жертва. REvil, рансъмуерът, използван при инцидента, разследван от Sophos, беше разгърнати при успешната атака с ransomware срещу JBS, с киберпрестъпниците зад него избяга с 11 милиона долара в биткойни.
ВИЖ: Политика за информираност и обучение за сигурност (TechRepublic Premium)
Има обаче стъпки, които всички организации могат да предприемат, за да избегнат възможността киберпрестъпниците да получат достъп до мрежата.
„Първо, уверете се, че всеки отделен компютър във вашата мрежа има инсталиран софтуер за сигурност и се управлява централно. Нападателите обичат незащитени машини. Следващия, уверете се, че получават кръпки редовно и помнете, че ако компютърът не е рестартиран в продължение на една година, тогава вероятно не е прилагал никакви корекции“, каза Макензи.
Но докато правилното използване на технологията може да помогне за защита срещу кибератаки, също така е полезно да наблюдавате мрежата. Хора, които разбират добре какво има в мрежата може да открие и реагира на всяка потенциално подозрителна дейност – като например използването на Colbalt Strike, което доведе до откриването на атаката с ransomware, описана в този случай, преди да бъдат нанесени значителни щети Свършен.
„За най-добра киберсигурност се нуждаете от хора, които да наблюдават какво се случва и да реагират на живо, това е, което може да направи най-голямата разлика“, каза Макензи.
ПОВЕЧЕ ЗА КИБЕР СИГУРНОСТТА
- Рансъмуер: Как щракването върху един имейл остави цял бизнес в големи проблеми
- Как да сте подготвени за ransomware атака: Проверете вашите данни и резервни копия
- Достигнахме ли върха на ransomware? Как се разрасна най-големият проблем за сигурността в интернет и какво се случва след това
- Нова работна група на Министерството на правосъдието ще се заеме с ransomware, се казва в доклада
- Тази компания беше засегната от ransomware. Ето какво направиха след това и защо не платиха