Sophos, глобалниот лидер за новите генерации на кибер-безбедност, објави дека откриле како напаѓачи се инфилтрирале во еден од регионалните сервери на владата на САД и во него поминале пет месеци. Во тој период тие го користеле серверот за онлајн пребарување за алатки за ИТ администрирање и хакирање кои можеле да им помогнат да го спроведат нападот.
Sophos, глобалниот лидер за новите генерации на кибер-безбедност, објави дека откриле како напаѓачи се инфилтрирале во еден од регионалните сервери на владата на САД и во него поминале пет месеци. Во тој период тие го користеле серверот за онлајн пребарување за алатки за ИТ администрирање и хакирање кои можеле да им помогнат да го спроведат нападот. Пред да ги изнесат податоците и пред да го инсталираат злонамерениот софтвер Lockbit напаѓачите инсталирале и Сryptominer. Деталите за нападот се објавени во написот „Напаѓачи престојуваат во компјутери на владина агенција пред да го инсталираат злонамерениот софтвер Lockbit “ („Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware,” и во него се вели дека повеќе различни напаѓачи се инфилтрирале во ранливиот сервер. Нападот бил откриен, стопиран и истражуван од тимот за одговор на инциденти на Ѕophos.
„Ова беше многу незгоден напад. Соработувавме со жртвата, и истражувачите на Sophos успеаја да формираат една слика за нападот. Изгледа дека серверот го пробиле новајлии, чепкале по мрежата и го користеле компромитираниот сервер за на Google да пребаруваат комбинации од пиратски и бесплатни верзии на алатки за хакирање и легитимни алатки за администрирање, кои потоа ги користеле во нападот. Потоа не знаеле што точно да направат следно. Речиси четири месецa по првичното пробивање на серверот нивната активност се променила, во некои случаи и драстично, што укажува на тоа дека на нападот се приклучиле напаѓачи со различни вештини. Потоа се обиделе да ја деинсталираат заштитата на серверот, па успеале со примена на софтверот Lockbit и да украдат податоци и енкриптирани документи од неколку уреди“, вели Ендрју Брант (Andrew Brandt), главен истражувач за безбедност во Sophos.
Редослед на настаните во нападот
Истражувачите на Sophos откриле дека првична, влезна точка на нападот била отворена RDP порта на заштитниот ѕид – firewall, која била конфигурирана за да обезбеди пристап на јавноста до серверот. Напаѓачите го пробиле серверот во септември 2021 година. На пробиениот сервер тие користеле пребарувач за пронаоѓање на онлајн алатки за хакирање што потоа се обиделе и да ги инсталираат. Во некои случаи пребарувањето на такви алатки ги одвело хакерите до сомнителни страници, од каде што наместо алатките што тие ги барале, на серверот се инсталирале и други програми.
Истрагата покажала дека однесувањето на напаѓачите значително се променило кон средината на јануари оваа година, кога се забележува повешта и пофокусирана активност. Тие напаѓачи се обиделе да го отстранат малициозниот Сryptominer и да го деинсталираат софтверот за заштита, а го икористиле фактот што жртвата ја оставила декативирана некоја од опциите за заштита. Напаѓачите потоа собирале и извлекле податоци и инсталирале Lockbit. Нападот со уценувачки софтвер имал ограничен успех и напаѓачите не успеале да ги шифрираат податоците на некои од уредите.
Меѓу алатките што напаѓачите се обиделе да ги инсталираат со малициозни намери се наоѓаат и Advanced Port Scanner, FileZilla, LaZagne, mimikatz, NLBrute, Process Hacker, PuTTY, Remote Desktop Passview, RDP Brute Forcer, SniffPass и WinSCP. Напаѓачите инсталирале и комерцијални алатки за управување на далечина, какви што се ScreenConnect и AnyDesk.
„Ако некој од ИТ тимот не ги инсталирал со одредена цел, присуството на таквите алатки на вашиот уред го вклучува алармот дека е во тек некаков напад. Неочекуваната или необична активност на мрежата, како што е уред што ја скенира мрежата е уште еден таков индикатор. Последователни неуспешни RDP логирања на некој уред што е достапен само внатре во мрежата е знак дека некој користи алатка за да се движи отстрана. Истото важи и за активни конекции преку комерцијални алатки за управување на далечина кои ИТ тимот не ги инсталирал или ги користел во минатото, но ги нема искористено подолго време“, – вели Брант.
„Робустен, проактивен напад за 24/7 длабинска одбрана ќе помогне да се спречи таков напад. Најбитниот прв чекор е да се спречат напаѓачите да не добијат пристап до мрежата, на пример, со имплементација на мултифакторска идентификација или подесување на огнениот ѕид да го блокира пристапот на далечина до RDP портите во отсуство на VPN конекција”
За повеќе информации прочитајте го написот „Напаѓачи престојуваат во компјутери на владина агенција пред да инсталираат Lockbit злонамерен софтвер“ („Attackers Linger on Government Agency Computers Before Deploying Lockbit Ransomware”) на Sophos News.