Storstilet Ransomware-angreb afvist af sikkerhedseksperter

Et ikke navngivet firma var ved at blive den seneste negative overskrift og lide et stort ransomware-angreb, men sikkerhedsforskere formåede at afværge krisen med tiden.

ZDNet rapporterede om hændelsen, som involverede en stor virksomhed, der bragte sikkerhedseksperter fra Sophos om bord, efter opdagelsen af et stort antal Cobalt Strike-forekomster installeret på virksomhedens computere. Ved første øjekast ser det måske ikke ud som noget mistænkeligt, da Cobalt Strike oprindeligt er et legitimt penetrationsprøvningsværktøj. I løbet af det sidste år har Cobalt Strike imidlertid også brugt blandt cyberkriminelle kredse.

Efter at virksomheden oprindeligt bragte Sophos om bord for at undersøge udseendet af CobaltStrike på netværket, fandt sikkerhedsforskerne, at hele netværket blev arbejdet over og forberedt på et fuldskala-ransomware-angreb.

Kriminelle planlagde at bruge REvil ransomware og gøre så meget skade som muligt ved at kryptere data massevis. Heldigvis for Sophos 'kunde lykkedes det sikkerhedsforskerne at få øje på den igangværende indsats for at forberede netværket til ransomware-nyttelasten og formåede at afværge angrebets fulde belastning.

Kun et lille antal ubeskyttede systemer og enheder blev krypteret, men det påvirkede ikke virksomheden på nogen væsentlig måde. Kriminelle bag angrebsforsøget efterlod en løsesumnote på de få enheder, de krypterede, og løsesumskravet var på $ 2,5 millioner. I betragtning af at det store angreb blev ødelagt, blev naturligvis intet af det betalt.

Hvad ZDNet og Sophos-undersøgelsen påpeger, er imidlertid, at de dårlige skuespillere bag angrebet formåede at snige den legitime ScreenConnect-fjernadgangssoftware på over hundrede firma-maskiner uden at nogen bemærkede og ringede alarmen.

Sophos Rapid Response teamchef, Peter Mackenzie, citeret af ZDnet, sagde, at den mest almindelige måde for trusselaktører at få et indledende fodfæste på et netværk normalt involverer phishing-brugere eller udnyttelse af VPN-sårbarheder eller systemer, der ikke har multifaktorautentisering aktiveret på deres VPN'er.

REvil, ransomware, der næsten ramte det ikke-navngivne firma i denne heldige begivenhed, blev også brugt med succes mod JBS - Amerikas største friske oksekøds- og svinekødsproducent, og i tilfælde med JBS var virksomheden ikke så heldig. Ransomware-banden bag dette angreb formåede at presse hele 11 millioner dollars ud af JBS.

Mackenzie gav også et par sikkerhedshenvisninger, herunder hvad sikkerhedsbranchen som helhed har forsøgt at lære virksomheder og virksomheder. De bedste anbefalinger inkluderer at holde opdateret sikkerhedssoftware installeret og administreret fra et centraliseret hub på alle netværksenheder og holde hvert eneste system opdateret med de nyeste programrettelser til al software, det kører.