Një raport i lëshuar nga Kaspersky Labs hodhi kohët e fundit dritë mbi një aktor kërcënimi që përdori një shfrytëzim të Sistemit të Skedarëve të Përbashkët të Ditarit (CLFS) për të përshkallëzuar privilegjet. Kaspersky ia ka atribuar këtë sulm një grupi që ka përdorur shfrytëzime të shumta të ndryshme, por të ngjashme të drejtuesve CLFS, që ka shumë të ngjarë të jenë nga i njëjti zhvillues.
Kaspersky’s analysis suggests that this exploit was used to dump the contents of the HKEY_LOCAL_MACHINESAM registry hive to continue their attack. Upon discovering this exploit, Kaspersky submitted their analysis to Microsoft for review. Microsoft responded promptly and assigned CVE-2023-28252 to the vulnerability. The company resolved the issue on April 11, 2023, as part of their April patch Tuesday.
Despite the cybercriminals’ sophistication, there is significant overlap between their goals and the methods they use to achieve them. This time, the attackers used a previously unknown way to escalate privileges and perform OS Credential Dumping, a well-known technique tracked by MITRE as T1003.002. While zero-day usage is always a concern, the follow-up activity is relatively simple to detect with proper logging or an Endpoint Detection and Response (EDR) tool, which can give security teams the critical time they need to get ahead of a ransomware attack.
Binary Defense është një kompani që ofron shërbime të zbulimit dhe reagimit të menaxhuar për të ndihmuar ekipet të fitojnë kohë jetike në skenarët e rasteve më të këqija. Ofrimi i shërbimit të tyre është thelbësor, duke pasur parasysh rritjen e konsiderueshme të sulmeve ransomware me të cilat përballen bizneset dhe organizatat sot.
Raporti i Kaspersky thekson rëndësinë e të pasurit një mjet të besueshëm EDR për të zbuluar menjëherë sulme të tilla. Këto mjete u mundësojnë ekipeve të sigurisë të zbulojnë aktivitetin keqdashës, të marrin sinjalizime dhe të përgjigjen shpejt përpara se një sulmues të mund të dorëzojë ngarkesën e tij përfundimtare.
Leveraging the recently discovered exploit, a group of criminals has recently been using the Nokoyawa ransomware to exploit a Windows zero-day vulnerability and hit several organizations worldwide. This group is using the same techniques and tactics that attackers have been using in previous campaigns, attempting to gain access to organizations’ networks by enticing employees to click on links or download attachments from phishing emails.
Pasi sulmuesit të kenë fituar aksesin fillestar, ata përdorin shfrytëzimin CLFS për të përshkallëzuar privilegjet, për të lëvizur anash përmes rrjetit dhe për të vendosur ransomware. Ransomware është një lloj malware që kodon skedarët e përdoruesve dhe kërkon një shpërblim për të rivendosur aksesin. Sulmet ransomware janë shpesh fitimprurëse për sulmuesit dhe mund të prishin seriozisht operacionet e biznesit për periudha të gjata.
Një sulm i kësaj natyre është një skenar makthi për çdo organizatë dhe thekson rëndësinë e trajnimit të rregullt të ndërgjegjësimit të sigurisë, menaxhimit të cenueshmërisë dhe mbrojtjes së pikës fundore. Sa më shumë që organizatat mund të bëjnë për të mbrojtur veten, aq më mirë do të jenë në identifikimin dhe reagimin ndaj kërcënimeve.
In conclusion, the Kaspersky report emphasizes the importance of having a reliable EDR tool to detect these types of attacks promptly. The attacker’s methods and tactics are nothing new, but security measures must be in place to detect and respond to these attacks before they become catastrophic. With the increasing frequency and sophistication of ransomware attacks, businesses and organizations must take all necessary measures to reduce the risk of falling victim to cybercriminals.