Microsoft Incident Response kohët e fundit kreu një hetim mbi një ndërhyrje ransomware që shfaqi përparimin e shpejtë të sulmit dhe ndërprerjet e mëdha të shkaktuara nga aktorët e kërcënimit në vetëm pesë ditë. Incidenti thekson sofistikimin dhe frekuencën në rritje të sulmeve të ransomware, duke theksuar nevojën që organizatat të përgatiten në mënyrë adekuate.
Gjatë sulmit pesë-ditor, aktori i kërcënimit përdori një gamë të gjerë mjetesh dhe teknikash për të vendosur ransomware BlackByte 2.0. Këto taktika dhe procedura (TTP) përfshinin përfitimin e serverëve të pasiguruar të Microsoft Exchange që ishin të aksesueshëm në internet, vendosjen e një guaskë ueb për të mundësuar aksesin në distancë dhe përdorimin e mjeteve ekzistuese për të mbledhur informacion në mënyrë të fshehtë.
Përveç kësaj, aktori i kërcënimit krijoi fenerët e Cobalt Strike për qëllime komandimi dhe kontrolli dhe kombinoi zgavrën e procesit me drejtuesit e cenueshëm për të shmangur mekanizmat mbrojtës. Për të siguruar qëndrueshmëri afatgjatë, u vendosën dyer të pasme të zhvilluara me porosi, së bashku me mjete të zhvilluara me porosi për të mbledhur dhe shfrytëzuar të dhëna.
Zinxhiri i sulmit filloi me shfrytëzimin e dobësive të ProxyShell në serverët e patch-uar të Microsoft Exchange. Duke shfrytëzuar këto dobësi, aktori i kërcënimit fitoi qasje administrative në hostin e komprometuar të Exchange, mori të dhënat e përdoruesit LegacyDN dhe SID dhe ndërtoi një token të vlefshëm vërtetimi për të hyrë në prapavijën e Exchange PowerShell. Aktori i kërcënimit më pas përdori cmdlet New-MailboxExportRequest për të krijuar një guaskë ueb dhe për të imituar përdoruesit e administratorit të domenit.
Për të arritur qëndrueshmërinë, aktori i kërcënimit krijoi çelësat e ekzekutimit të regjistrit që ekzekutonin ngarkesa me hyrjen e përdoruesit. Cobalt Strike u përdor për këmbëngulje, me antivirusin Microsoft Defender duke e shënuar sys.exe si Trojan:Win64/CobaltStrike!MSR. AnyDesk, një mjet legjitim i aksesit në distancë, u përdor gjithashtu për këmbëngulje dhe lëvizje anësore.
Ekzaminimi i mëtejshëm zbuloi përdorimin e NetScan, një mjet zbulimi i rrjetit, nga aktori i kërcënimit për numërimin e rrjetit. Analistët e sigurisë zbuluan lidhje të suksesshme me adresat IP të shërbimit anonimizues të lidhur me skedarët e regjistrit të AnyDesk. Për më tepër, aktori i kërcënimit çaktivizoi Microsoft Defender Antivirus për të ekzekutuar skedarin Trojan:Win64/WinGoObfusc.LK!MT.
Ransomware BlackByte 2.0 demonstroi aftësi të ndryshme, duke përfshirë anashkalimin e antivirusit, zgavrën e procesit, modifikimin/çaktivizimin e Windows Firewall, modifikimin e kopjeve hije të volumit, modifikimin e çelësave/vlerave të regjistrit dhe funksionalitete shtesë.
Për të zbutur rreziqet që lidhen me sulme të tilla, Microsoft Incident Response ofroi disa rekomandime. Këto përfshijnë prioritizimin e korrigjimit për pajisjet e ekspozuara në internet, vendosjen e Microsoft Defender për Endpoint për shikueshmëri në kohë reale, mundësimin e mbrojtjes së bazuar në cloud dhe përditësimet e rregullta për zgjidhjet antivirus, aktivizimin e mbrojtjes nga manipulimi për Microsoft Defender Antivirus, bllokimin e trafikut nga IP-të e listuara në treguesit e kompromis (IoC), duke bllokuar aksesin nga shërbimet publike të paautorizuara VPN dhe nyjet e daljes TOR, dhe duke kufizuar privilegjet administrative.
Rritja e sulmeve ransomware vazhdon të përbëjë një kërcënim të rëndësishëm për organizatat në mbarë botën. Është thelbësore që bizneset të qëndrojnë vigjilentë dhe të zbatojnë masa të forta të sigurisë kibernetike për t'u mbrojtur kundër këtyre kërcënimeve në zhvillim. Duke ndjekur praktikat më të mira dhe duke qëndruar të përditësuar me arnimet dhe zgjidhjet e sigurisë, organizatat mund të përmirësojnë mbrojtjen e tyre dhe të zbusin ndikimin e mundshëm të sulmeve të ransomware.
In conclusion, organizations must recognize the growing sophistication and frequency of ransomware attacks and take appropriate measures to protect their systems and data. Microsoft’s Incident Response investigation serves as a reminder of the importance of proactive cybersecurity measures and the need for continuous improvement and adaptation to stay one step ahead of threat actors.