Αποτροπή επίθεσης Ransomware μεγάλης κλίμακας από ειδικούς ασφαλείας

Μια ανώνυμη εταιρεία επρόκειτο να γίνει ο τελευταίος αρνητικός τίτλος και να υποστεί μια σημαντική επίθεση ransomware, αλλά οι ερευνητές ασφαλείας κατάφεραν να αποτρέψουν την κρίση στο τέλος του χρόνου.

Το ZDNet ανέφερε σχετικά με το περιστατικό, στο οποίο συμμετείχαν μια μεγάλη επιχείρηση με τη συμμετοχή εμπειρογνωμόνων ασφαλείας από τη Sophos, μετά την ανακάλυψη ενός μεγάλου αριθμού παρουσιών Cobalt Strike εγκατεστημένων σε υπολογιστές της εταιρείας. Με την πρώτη ματιά, αυτό μπορεί να μην φαίνεται καθόλου ύποπτο, καθώς το Cobalt Strike είναι αρχικά ένα νόμιμο εργαλείο δοκιμής διείσδυσης. Ωστόσο, κατά τη διάρκεια του περασμένου έτους, το Cobalt Strike έχει επίσης αυξηθεί στη χρήση και στους εγκληματίες του κυβερνοχώρου.

Αφού η εταιρεία έφερε αρχικά τη Sophos στο πλοίο για να διερευνήσει την εμφάνιση του CobaltStrike στο δίκτυο, οι ερευνητές ασφαλείας διαπίστωσαν ότι ολόκληρο το δίκτυο επεξεργάστηκε και προετοιμάστηκε για μια επίθεση ransomware πλήρους κλίμακας.

Οι εγκληματίες σχεδίαζαν να χρησιμοποιήσουν το REVIL ransomware και να κάνουν όσο το δυνατόν μεγαλύτερη ζημιά, κρυπτογραφώντας δεδομένα μαζικά. Ευτυχώς για τον πελάτη της Sophos, οι ερευνητές ασφαλείας κατάφεραν να εντοπίσουν τις συνεχιζόμενες προσπάθειες προετοιμασίας του δικτύου για το ωφέλιμο φορτίο ransomware και κατάφεραν να αποτρέψουν το πλήρες βάρος της επίθεσης.

Μόνο ένας μικρός αριθμός μη προστατευμένων συστημάτων και συσκευών κρυπτογραφήθηκαν, αλλά αυτό δεν επηρέασε την εταιρεία με σημαντικό τρόπο. Οι εγκληματίες πίσω από την απόπειρα επίθεσης άφησαν μια σημείωση λύτρων σε αυτές τις λίγες συσκευές που κρυπτογράφησαν και η απαίτηση λύτρων ήταν στο ποσό των 2,5 εκατομμυρίων δολαρίων. Φυσικά, δεδομένου ότι η επίθεση μεγάλης κλίμακας είχε αποτύχει, κανένα από αυτά δεν πληρώθηκε.

Αυτό που επισημαίνει το ZDNet και η έρευνα της Sophos, ωστόσο, είναι ότι οι κακοί ηθοποιοί πίσω από την επίθεση κατάφεραν να γλιστρήσουν το νόμιμο λογισμικό απομακρυσμένης πρόσβασης ScreenConnect σε πάνω από εκατό μηχανήματα της εταιρείας, χωρίς κανείς να το παρατηρήσει.

Ο διευθυντής της ομάδας Sophos Rapid Response, Peter Mackenzie, ανέφερε ο ZDnet, ότι ο πιο συνηθισμένος τρόπος για τους απειλητικούς ηθοποιούς να αποκτήσουν μια αρχική βάση σε ένα δίκτυο συνήθως περιλαμβάνει χρήστες ηλεκτρονικού ψαρέματος ή εκμετάλλευση ευπαθειών VPN ή συστημάτων που δεν έχουν ενεργοποιημένο έλεγχο ταυτότητας πολλών παραγόντων στα VPN τους.

Το REvil, το ransomware που χτύπησε σχεδόν την ανώνυμη εταιρεία σε αυτή την τυχερή σειρά εκδηλώσεων, χρησιμοποιήθηκε επίσης με επιτυχία εναντίον της JBS - του μεγαλύτερου παραγωγού φρέσκου βοείου κρέατος και χοιρινού κρέατος στην Αμερική, και στην περίπτωση με την JBS, η εταιρεία δεν ήταν τόσο τυχερή. Η συμμορία ransomware πίσω από αυτήν την επίθεση κατάφερε να συμπιέσει ένα επιβλητικό 11 εκατομμύρια δολάρια από την JBS.

Ο Mackenzie έδωσε επίσης μερικούς δείκτες ασφαλείας, συμπεριλαμβανομένων αυτών που η βιομηχανία ασφαλείας στο σύνολό της προσπαθούσε να διδάξει εταιρείες και επιχειρήσεις. Οι κορυφαίες προτάσεις περιλαμβάνουν τη διατήρηση ενημερωμένου λογισμικού ασφαλείας εγκατεστημένου και διαχειριζόμενου από έναν κεντρικό κόμβο σε όλες τις συσκευές δικτύου και την ενημέρωση κάθε συστήματος με τις πιο πρόσφατες ενημερώσεις κώδικα για όλο το λογισμικό που εκτελείται.