Izvješće koje je nedavno objavio Kaspersky Labs rasvijetlilo je aktera prijetnje koji je koristio Common Log File System (CLFS) exploit za eskalaciju privilegija. Kaspersky je ovaj napad pripisao skupini koja je koristila više različitih, ali sličnih eksploatacija CLFS drajvera koji su najvjerojatnije od istog programera.
Analiza tvrtke Kaspersky sugerira da je ovaj exploit korišten za izbacivanje sadržaja HKEY_LOCAL_MACHINESAM košnice registra kako bi se nastavio njihov napad. Nakon što je otkrio ovaj exploit, Kaspersky je predao svoju analizu Microsoftu na pregled. Microsoft je promptno reagirao i dodijelio CVE-2023-28252 ranjivosti. Tvrtka je riješila problem 11. travnja 2023., u sklopu travanjske zakrpe u utorak.
Unatoč sofisticiranosti kibernetičkih kriminalaca, postoji značajno preklapanje između njihovih ciljeva i metoda koje koriste da bi ih postigli. Ovaj put, napadači su koristili prethodno nepoznat način za eskalaciju privilegija i izvođenje OS Credential Dumpinga, dobro poznatu tehniku koju MITER prati kao T1003.002. Iako je upotreba zero-day uvijek zabrinjavajuća, daljnju aktivnost relativno je jednostavno otkriti uz odgovarajuće bilježenje ili alat za otkrivanje i odgovor krajnje točke (EDR), koji sigurnosnim timovima može dati kritično vrijeme koje im je potrebno da preduhitre ransomware napad.
Binary Defense je tvrtka koja pruža usluge upravljane detekcije i odgovora kako bi pomogla timovima da dobiju vitalno vrijeme u najgorem slučaju. Njihova ponuda usluga ključna je s obzirom na značajan porast napada ransomwarea s kojima se tvrtke i organizacije danas suočavaju.
Izvješće tvrtke Kaspersky naglašava važnost posjedovanja pouzdanog EDR alata za brzo otkrivanje takvih napada. Ovi alati omogućuju sigurnosnim timovima da otkriju zlonamjernu aktivnost, dobiju upozorenja i brzo odgovore prije nego što napadač može isporučiti svoj konačni teret.
Koristeći nedavno otkriveni exploit, skupina kriminalaca nedavno je koristila Nokoyawa ransomware kako bi iskoristila ranjivost sustava Windows zero-day i pogodila nekoliko organizacija diljem svijeta. Ova grupa koristi iste tehnike i taktike koje su napadači koristili u prethodnim kampanjama, pokušavajući dobiti pristup mrežama organizacija tako što su naveli zaposlenike da kliknu na poveznice ili preuzmu privitke iz phishing e-pošte.
Nakon što napadači dobiju početni pristup, koriste CLFS exploit za povećanje privilegija, bočno kretanje kroz mrežu i postavljanje ransomwarea. Ransomware je vrsta zlonamjernog softvera koji šifrira korisničke datoteke i zahtijeva otkupninu za vraćanje pristupa. Ransomware napadi često su unosni za napadače i mogu ozbiljno poremetiti poslovanje na dulja razdoblja.
Napad ove prirode scenarij je noćne more za svaku organizaciju i naglašava važnost redovite obuke o svijesti o sigurnosti, upravljanja ranjivostima i zaštite krajnje točke. Što više organizacije mogu učiniti da se zaštite, to će biti bolje u prepoznavanju prijetnji i odgovaranju na njih.
Zaključno, izvješće tvrtke Kaspersky naglašava važnost posjedovanja pouzdanog EDR alata za brzo otkrivanje ovih vrsta napada. Metode i taktike napadača nisu ništa novo, ali moraju postojati sigurnosne mjere za otkrivanje i odgovor na te napade prije nego što postanu katastrofalni. Uz sve veću učestalost i sofisticiranost ransomware napada, tvrtke i organizacije moraju poduzeti sve potrebne mjere kako bi smanjile rizik da postanu žrtve kibernetičkih kriminalaca.
Croatian 
English 
Albanian 
Serbian 