Microsoft Incident Response nedavno je proveo istragu o upadu ransomwarea koji je pokazao brzo napredovanje napada i velike poremećaje uzrokovane prijetnjama u samo pet dana. Incident naglašava sve veću sofisticiranost i učestalost napada ransomwarea, naglašavajući potrebu da organizacije budu odgovarajuće pripremljene.

Tijekom petodnevnog napada, akter prijetnje koristio je širok raspon alata i tehnika za implementaciju BlackByte 2.0 ransomwarea. Ove taktike i procedure (TTP) uključivale su iskorištavanje nezaštićenih Microsoft Exchange poslužitelja koji su bili dostupni na mreži, postavljanje web ljuske za omogućavanje udaljenog pristupa i korištenje postojećih alata za tajno prikupljanje informacija.

Osim toga, akter prijetnje postavio je svjetionike Cobalt Strike za potrebe zapovijedanja i kontrole i kombinirao proces hollowinga s ranjivim pokretačima kako bi izbjegao obrambene mehanizme. Kako bi se osigurala dugoročna postojanost, postavljena su prilagođeno razvijena stražnja vrata, zajedno s prilagođeno razvijenim alatima za prikupljanje i eksfiltraciju podataka.

Lanac napada započeo je iskorištavanjem ranjivosti ProxyShell u nezakrpanim Microsoft Exchange poslužiteljima. Iskorištavanjem ovih ranjivosti, akter prijetnje dobio je administrativni pristup kompromitiranom Exchange hostu, dohvatio korisničke LegacyDN i SID podatke i izgradio valjani autentifikacijski token za pristup Exchange PowerShell pozadini. Glumitelj prijetnje zatim je upotrijebio cmdlet New-MailboxExportRequest za stvaranje web-ljuske i oponašanje korisnika administratora domene.

Kako bi se postigla postojanost, akter prijetnje uspostavio je ključeve za pokretanje registra koji su izvršavali korisni teret nakon prijave korisnika. Cobalt Strike korišten je za postojanost, a Microsoft Defender Antivirus označio je sys.exe kao Trojan:Win64/CobaltStrike!MSR. AnyDesk, legitimni alat za daljinski pristup, također je korišten za postojanost i bočno kretanje.

Daljnje ispitivanje otkrilo je korištenje NetScana, alata za otkrivanje mreže, od strane aktera prijetnje za popis mreže. Sigurnosni analitičari otkrili su uspješne veze s IP adresama usluga anonimiziranja povezanih s datotekama dnevnika AnyDesk. Uz to, akter prijetnje onemogućio je Microsoft Defender Antivirus da pokrene datoteku Trojan:Win64/WinGoObfusc.LK!MT.

Ransomware BlackByte 2.0 demonstrirao je različite mogućnosti, uključujući antivirusno zaobilaženje, šuplje procese, modificiranje/onemogućavanje Windows vatrozida, modificiranje kopija u sjeni volumena, modificiranje ključeva/vrijednosti registra i dodatne funkcije.

Kako bi se ublažili rizici povezani s takvim napadima, Microsoft Incident Response ponudio je nekoliko preporuka. To je uključivalo davanje prioriteta zakrpama za uređaje izložene internetu, implementaciju Microsoft Defender for Endpoint za vidljivost u stvarnom vremenu, omogućavanje zaštite temeljene na oblaku i redovitih ažuriranja za antivirusna rješenja, aktiviranje zaštite od neovlaštenog mijenjanja za Microsoft Defender Antivirus, blokiranje prometa s IP adresa navedenih u indikatorima kompromis (IoC), blokiranje pristupa s neovlaštenih javnih VPN servisa i TOR izlaznih čvorova te ograničavanje administrativnih privilegija.

Porast ransomware napada i dalje predstavlja značajnu prijetnju organizacijama diljem svijeta. Ključno je da tvrtke ostanu oprezne i provode snažne mjere kibernetičke sigurnosti kako bi se zaštitile od ovih rastućih prijetnji. Slijedeći najbolje prakse i prateći sigurnosne zakrpe i rješenja, organizacije mogu poboljšati svoju obranu i ublažiti potencijalni utjecaj napada ransomwarea.

Zaključno, organizacije moraju prepoznati rastuću sofisticiranost i učestalost napada ransomwarea i poduzeti odgovarajuće mjere za zaštitu svojih sustava i podataka. Microsoftovo istraživanje Incident Response služi kao podsjetnik na važnost proaktivnih mjera kibernetičke sigurnosti i potrebu za stalnim poboljšanjima i prilagodbama kako bismo ostali korak ispred aktera prijetnji.

Link na izvor