Напаѓачите исто така користеле и Cryptominer и Lockbit
Sophos, глобален лидер за нови генераци сајбер безбедност, објави дека откриле како напаѓачи се инфилтрирале во регионален сервер на владата на САД и поминале пет месеци таму. Во тој период го користеле серверот за пребарување онлајн за алатки за ИТ администрирање и хакирање кои можеле да им помогнат да го спроведат нападот. Напаѓачите инсталирале и Сryptominer пред да ги изнесат податоците и пред да инсталираат Lockbit злонамерениот сосфтвер. Деталите за нападот ги има во написот „Напаѓачи престојуваат во компјутери на владина агенција пред да инсталираат Lockbit злонамерен софтвер“ („Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware,” и во него се вели дека повеќе различни напаѓачи се инфилтрирале во ранливиот сервер. Нападот бил откриен, стопиран и истражуван од тимот за одговор на инциденти на Ѕophos.
„Ова беше многу незгоден напад. Соработувавме со жртвата и истражувачите на Sophos успеаја да формираат една слика за нападот. Изгледа дека новајлии го пробиле серверот, чепкале по мрежата и го користеле компромитираниот сервер за на Google да пребаруваат комбинации од пиратски и бесплатни верзии на алатки за хакирање и легитимни алатки за администрирање, кои потоа ги користеле во нападот. Потоа не знаеле што точно да направат следно. Речиси четири месеци после првичното пробивање на серверот нивната активност се променила, во некои случаи и драстично, што укажува на тоа дека напаѓачи со различни вештини се приклучиле на нападот. Потоа се обиделе да ја деинсталираат заштитата на серверот па успеале и да украдат податоци и енкриптирани документи на неколку уреди со примена на софтверот Lockbit“ вели Andrew Brandt, главен истражувач за безбедност во Sophos.
Редослед на настаните во нападот
Истражувачите на Sophos откриле дека првичната влезна точка на нападот била отворена RDP порта на firewall, која била конфигурирана да обезбеди пристап на јавноста до серверот. Напаѓачите го пробиле серверот во септември 2021 година. Тие користеле пребарувач на пробиениот сервер за да пребаруваат онлајн алатки за хакирање и се обиделе да ги инсталираат. Во некои случаи пребарувањето на такви алатки ги одвело хакерите до сомнителни страници, од каде што на серверот се инсталирале други програми наместо алатките коишто ги барале.
Истрагата покажала дека однесувањето на напаѓачите значително се сменило на средината на јануари годинава, кога се забележува повешта и пофокусирана активност. Тие напаѓачи се обиделе да го отстранат малициозниот Сryptominer и да го деинсталираат софтверот за заштита, а го икористиле фактот дека жртвата ја оставила декативирана некоја од опциите за заштита. Напаѓачите потоа собирале и извлекле податоци и инсталирале Lockbit. Нападот со уценувачки софтвер имал ограничен успех и напаѓачоте не успеале да некриптираат податоци на некои уреди.
Алатките кои напаѓачите се обиделе да ги инсталираат со малициозни намери ги вклучуваат Advanced Port Scanner, FileZilla, LaZagne, mimikatz, NLBrute, Process Hacker, PuTTY, Remote Desktop Passview, RDP Brute Forcer, SniffPass и WinSCP. Напаѓачите инсталирале и комерцијални алатки за управување на далечина, како што се ScreenConnect и AnyDesk.
„Ако некој од ИТ тимот не ги инсталирал со одредена цел, присуството на таквите алатки на вашиот уред го вклучува алармот дека се случува некаков напад. Неочекуваната или необичната активност на мрежата, како што е машина која ја скенира мрежата е уште еден таков индикатор. Последователни неуспешни RDP логирања на некој уред кој е достапен само внатре во мрежата е знак дека некој користи алатка за да се движи отстрана. Истото важи и за активни конекции преку комерцијални алатки за управување на далечина кои ИТ тимот не ги инсталирал или ги користел во минатото, но ги нема искористено подолго време“ вели Брант.
„Робустен, проактивен напад за 24/7 длабинска одбрана ќе помогне да се спречи таков напад. Најбитниот прв чекор е да се спречат напаѓачите да не добијат пристап до мрежата, на пример, со имплементација на мултифакторска идентификација или подесување на огнениот ѕид да го блокира пристапот на далечина до RDP портите во отсуство на VPN конекција”
За повеќе информации прочитајте го написот „Напаѓачи престојуваат во компјутери на владина агенција пред да инсталираат Lockbit злонамерен софтвер“ („Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware”) на Sophos News.