Na co powinniśmy zwracać uwagę aby uniknąć stania się ofiarami?
Zaczyna się od instalacji legalnego nierzadko oprogramowania
Grupa cyberprzestępców zajmująca się infekowaniem komputerów z wykorzystaniem ransomware zainstalowała oprogramowanie do zdalnego pulpitu na ponad 100 komputerach w pewnej sieci a ich plany dotyczące zaszyfrowania danych zostały udaremnione w ostatniej chwili - gdy eksperci ds. cyberbezpieczeństwa zostali wezwani do firmy po znalezieniu podejrzanego oprogramowania w jej sieci.
Wysiłki podejmowane przez przestępców w celu stworzenia podstaw do ataku ransomware, który zaowocował zainstalowaniem - legalnego przecież - oprogramowania wykorzystywanego do zapewnienia zdalnego dostępu na 130 punktach końcowych, zostały zniweczone dzięki firmie Sophos. Nieujawniony klient wezwał specjalistów z Sophosa po wykryciu w swojej sieci niesławnego Cobalt Strike.
Przypomnijmy: Cobalt Strike to legalne narzędzie do testów penetracji, ale jest powszechnie używane przez cyberprzestępców na wczesnych etapach ataku ransomware. Jednym z powodów, dla których jest używany przez cyberprzestępców, jest to, że częściowo jest ulokowany wyłącznie w pamięci, co utrudnia jego wykrycie.
Zapobiegli atakowi w dosłownie ostatniej chwili
Głównym celem gangu było zaszyfrowanie jak największej ilości pamięci masowych za pomocą oprogramowania ransomware REvil, ale ponieważ cyberprzestępcy zostali wykryci, zanim zdążyli sfinalizować przygotowania, atak nie powiódł się. Chociaż trzeba przyznać, że udało im się zaszyfrować dane na niektórych niechronionych urządzeniach i usunąć kopie zapasowe online od razu po tym, jak zauważyli je śledzący ich fachowcy z Sophosa.
Notatka z żądaniem okupu pozostawiona przez REvil na jednym z nielicznych zaszyfrowanych urządzeń zawierała żądanie 2,5 miliona dolarów w Bitcoinach za klucz deszyfrujący – okup nie został zapłacony. REvil było już użyte na przykład w ataku na JBS, w którym stojący za nim cyberprzestępcy zarobili 11 milionów dolarów w Bitcoinach.
Jednak w trakcie przygotowań atakującym udało się uzyskać wystarczającą kontrolę nad siecią, aby zainstalować oprogramowanie na ponad 100 komputerach a atakowana firma tego nie zauważyła. Paul Jacobs, kierownik ds. reagowania na incydenty w firmie Sophos, tak do podsumował:
W wyniku pandemii nierzadko można znaleźć aplikacje zdalnego dostępu zainstalowane na urządzeniach pracowników. Kiedy zobaczyliśmy Screen Connect na 130 terminalach końcowych założyliśmy, że jest tam celowo, aby wspierać osoby pracujące w domu. Okazało się, że firma nic o tym nie wie – atakujący zainstalowali oprogramowanie, aby zapewnić sobie dostęp do sieci i zhakowanych urządzeń.
Była to tylko jedna z kilku metod, których cyberprzestępcy używali do utrzymania kontroli w sieci, obok – na przykład - tworzenia własnych kont administratora.
Od czego to się zaczęło?
W jaki sposób cyberprzestępcy w ogóle dostali się do sieci aby móc użyć Colbalt Strike, założyć konta dostępu zdalnego i uzyskać uprawnienia administratora? Na to nieco światła rzucił Peter Mackenzie, menedżer Sophos Rapid Response:
Z tego, co widzieliśmy w naszych dochodzeniach, stosuje się różne metody. Najczęściej są to użytkownicy, którzy są „phishingowani” często całe tygodnie lub miesiące wcześniej, na drugim miejscu mamy wykorzystywanie luk w zabezpieczeniach zapory sieciowej i VPN lub ataki brute-force na usługę RDP jeśli jest wystawiona na zewnątrz.
Prewencja najważniejsza
Istnieją jednak kroki, które organizacje mogą podjąć, aby uniemożliwić cyberprzestępcom uzyskanie dostępu do sieci.
Po pierwsze upewnij się, że każdy komputer w Twojej sieci ma zainstalowane i centralnie zarządzane oprogramowanie zabezpieczające. Atakujący uwielbiają niechronione komputery. Następnie upewnij się, że regularnie otrzymują łatki.
Ale chociaż prawidłowe korzystanie z technologii może pomóc w ochronie przed cyberatakami, warto również mieć oko na sieć. Osoby, które dobrze rozumieją, co znajduje się w sieci, mogą wykryć i zareagować na każdą potencjalnie podejrzaną aktywność — taką jak użycie Colbalt Strike, w wyniku którego atak ransomware opisany w tym przypadku został wykryty przed wyrządzeniem znacznych szkód.
Aby uzyskać wysoki poziom bezpieczeństwa cybernetycznego potrzebujesz ludzi obserwujących, co się dzieje i reagujących na to na żywo.