Një raport i lëshuar nga Kaspersky Labs hodhi kohët e fundit dritë mbi një aktor kërcënimi që përdori një shfrytëzim të Sistemit të Skedarëve të Përbashkët të Ditarit (CLFS) për të përshkallëzuar privilegjet. Kaspersky ia ka atribuar këtë sulm një grupi që ka përdorur shfrytëzime të shumta të ndryshme, por të ngjashme të drejtuesve CLFS, që ka shumë të ngjarë të jenë nga i njëjti zhvillues.

Analiza e Kaspersky sugjeron që ky shfrytëzim është përdorur për të hedhur përmbajtjen e kosheres së regjistrit HKEY_LOCAL_MACHINESAM për të vazhduar sulmin e tyre. Me zbulimin e këtij shfrytëzimi, Kaspersky ia dorëzoi Microsoft-it analizën e tyre për shqyrtim. Microsoft u përgjigj menjëherë dhe caktoi CVE-2023-28252 për cenueshmërinë. Kompania e zgjidhi çështjen më 11 prill 2023, si pjesë e patch-it të prillit të martën.

Pavarësisht sofistikimit të kriminelëve kibernetikë, ka mbivendosje të konsiderueshme midis qëllimeve të tyre dhe metodave që përdorin për t'i arritur ato. Kësaj radhe, sulmuesit përdorën një mënyrë të panjohur më parë për të përshkallëzuar privilegjet dhe për të kryer Hedhjen e Kredencialeve të OS, një teknikë e njohur e gjurmuar nga MITER si T1003.002. Ndërsa përdorimi i ditës zero është gjithmonë një shqetësim, aktiviteti vijues është relativisht i thjeshtë për t'u zbuluar me regjistrimin e duhur ose një mjet për zbulimin dhe përgjigjen e pikës së fundit (EDR), i cili mund t'u japë ekipeve të sigurisë kohën kritike që u nevojitet për të kaluar përpara një ransomware. sulmojnë.

Binary Defense është një kompani që ofron shërbime të zbulimit dhe reagimit të menaxhuar për të ndihmuar ekipet të fitojnë kohë jetike në skenarët e rasteve më të këqija. Ofrimi i shërbimit të tyre është thelbësor, duke pasur parasysh rritjen e konsiderueshme të sulmeve ransomware me të cilat përballen bizneset dhe organizatat sot.

Raporti i Kaspersky thekson rëndësinë e të pasurit një mjet të besueshëm EDR për të zbuluar menjëherë sulme të tilla. Këto mjete u mundësojnë ekipeve të sigurisë të zbulojnë aktivitetin keqdashës, të marrin sinjalizime dhe të përgjigjen shpejt përpara se një sulmues të mund të dorëzojë ngarkesën e tij përfundimtare.

Duke shfrytëzuar shfrytëzimin e zbuluar së fundmi, një grup kriminelësh kohët e fundit ka përdorur ransomware-in Nokoyawa për të shfrytëzuar një dobësi të Windows zero-day dhe për të goditur disa organizata në mbarë botën. Ky grup po përdor të njëjtat teknika dhe taktika që sulmuesit kanë përdorur në fushatat e mëparshme, duke u përpjekur të fitojnë akses në rrjetet e organizatave duke joshur punonjësit të klikojnë në lidhje ose të shkarkojnë bashkëngjitjet nga emailet e phishing.

Pasi sulmuesit të kenë fituar aksesin fillestar, ata përdorin shfrytëzimin CLFS për të përshkallëzuar privilegjet, për të lëvizur anash përmes rrjetit dhe për të vendosur ransomware. Ransomware është një lloj malware që kodon skedarët e përdoruesve dhe kërkon një shpërblim për të rivendosur aksesin. Sulmet ransomware janë shpesh fitimprurëse për sulmuesit dhe mund të prishin seriozisht operacionet e biznesit për periudha të gjata.

Një sulm i kësaj natyre është një skenar makthi për çdo organizatë dhe thekson rëndësinë e trajnimit të rregullt të ndërgjegjësimit të sigurisë, menaxhimit të cenueshmërisë dhe mbrojtjes së pikës fundore. Sa më shumë që organizatat mund të bëjnë për të mbrojtur veten, aq më mirë do të jenë në identifikimin dhe reagimin ndaj kërcënimeve.

Si përfundim, raporti i Kaspersky thekson rëndësinë e të pasurit një mjet të besueshëm EDR për të zbuluar menjëherë këto lloj sulmesh. Metodat dhe taktikat e sulmuesit nuk janë asgjë e re, por duhet të vendosen masa sigurie për të zbuluar dhe për t'iu përgjigjur këtyre sulmeve përpara se ato të bëhen katastrofike. Me frekuencën në rritje dhe sofistikimin e sulmeve ransomware, bizneset dhe organizatat duhet të marrin të gjitha masat e nevojshme për të reduktuar rrezikun e të qenit viktimë e kriminelëve kibernetikë.

Lidhja e burimit