Мицрософт Инцидент Респонсе је недавно спровео истрагу о упаду софтвера за рансомвер који је показао брзу прогресију напада и велике поремећаје које су изазвали актери претњи за само пет дана. Инцидент наглашава растућу софистицираност и учесталост напада рансомваре-а, наглашавајући потребу да организације буду адекватно припремљене.
Током петодневног напада, актер претње је користио широк спектар алата и техника да примени БлацкБите 2.0 рансомваре. Ове тактике и процедуре (ТТП) укључивале су коришћење предности необезбеђених Мицрософт Екцханге сервера који су били доступни на мрежи, примену веб љуске да би се омогућио даљински приступ и коришћење постојећих алата за тајно прикупљање информација.
Поред тога, актер претње је поставио сигналне сигнале Цобалт Стрике за командне и контролне сврхе и комбиновао процес удубљења са рањивим возачима како би избегао одбрамбене механизме. Да би се осигурала дугорочна постојаност, коришћена су прилагођена позадинска врата, заједно са прилагођеним алатима за прикупљање и ексфилтрирање података.
Ланац напада почео је искоришћавањем прокиСхелл рањивости у незакрпљеним Мицрософт Екцханге серверима. Искоришћавањем ових рањивости, актер претње је добио административни приступ компромитованом Екцханге хосту, преузео корисничке ЛегациДН и СИД податке и направио важећи токен за аутентификацију за приступ Екцханге ПоверСхелл позадини. Актер претње је затим користио цмдлет Нев-МаилбокЕкпортРекуест за креирање веб љуске и опонашање корисника администратора домена.
Да би постигао постојаност, актер претње је успоставио кључеве за покретање регистра који су извршавали корисне податке након пријављивања корисника. Цобалт Стрике је коришћен за упорност, а Мицрософт Дефендер Антивирус је означио сис.еке као Тројан:Вин64/ЦобалтСтрике!МСР. АниДеск, легитимна алатка за даљински приступ, такође је коришћена за упорност и бочно кретање.
Даље испитивање је открило да је актер претње користио НетСцан, алатку за откривање мреже, за набрајање мреже. Безбедносни аналитичари су открили успешне везе са ИП адресама услуге анонимизатора које су повезане са АниДеск датотекама евиденције. Поред тога, актер претње је онемогућио Мицрософт Дефендер Антивирус да изврши датотеку Тројан:Вин64/ВинГоОбфусц.ЛК!МТ.
БлацкБите 2.0 рансомваре демонстрирао је различите могућности, укључујући заобилажење антивирусног програма, дуплирање процеса, модификацију/онемогућавање Виндовс заштитног зида, модификацију сјенчаних копија волумена, модификацију кључева/вредности регистратора и додатне функционалности.
Да би се умањили ризици повезани са таквим нападима, Мицрософт Инцидент Респонсе је понудио неколико препорука. То је укључивало давање приоритета закрпама за уређаје изложене интернету, примену Мицрософт Дефендер-а за крајњу тачку ради видљивости у реалном времену, омогућавање заштите засноване на облаку и редовно ажурирање антивирусних решења, активирање заштите од неовлашћеног приступа за Мицрософт Дефендер Антивирус, блокирање саобраћаја са ИП адреса наведених у индикаторима компромис (ИоЦ), блокирање приступа неовлашћеним јавним ВПН сервисима и ТОР излазних чворова и ограничавање административних привилегија.
Пораст напада рансомваре-а и даље представља значајну претњу организацијама широм света. За предузећа је од кључног значаја да остану на опрезу и примењују робусне мере сајбер безбедности како би се заштитиле од ових претњи које се развијају. Праћењем најбољих пракси и ажурирањем безбедносних закрпа и решења, организације могу да побољшају своју одбрану и ублаже потенцијални утицај напада рансомвера.
In conclusion, organizations must recognize the growing sophistication and frequency of ransomware attacks and take appropriate measures to protect their systems and data. Microsoft’s Incident Response investigation serves as a reminder of the importance of proactive cybersecurity measures and the need for continuous improvement and adaptation to stay one step ahead of threat actors.