Nagyméretű Ransomware támadás, amelyet a biztonsági szakértők megsemmisítettek

Egy meg nem nevezett cég hamarosan a legújabb negatív címoldalra vált, és komoly ransomware-támadást szenved el, de a biztonsági kutatóknak idővel sikerült elhárítaniuk a válságot.

A ZDNet beszámolt az esetről, amelynek során egy nagyvállalkozás vonta be a fedélzetre a Sophos biztonsági szakértőit, miután számos vállalati számítógépre telepített Cobalt Strike példányt fedeztek fel. Első pillantásra ez nem tűnhet semmi gyanúsnak, mivel a Cobalt Strike eredetileg legitim penetrációs tesztelő eszköz. Az elmúlt év során azonban a Cobalt Strike a számítógépes bűnözői körökben is megnőtt.

Miután a vállalat eredetileg fedélzetre hozta a Sophost, hogy megvizsgálja a CobaltStrike megjelenését a hálózaton, a biztonsági kutatók megállapították, hogy az egész hálózaton dolgoznak és felkészülnek egy teljes körű ransomware támadásra.

A bűnözők a REvil ransomware használatát tervezték, és minél nagyobb kárt okoznak, tömegesen titkosítva az adatokat. A Sophos ügyfelének szerencséjére a biztonsági kutatóknak sikerült észrevenniük a hálózat ransomware hasznos terhelésre való felkészítésére irányuló folyamatos erőfeszítéseket, és sikerült megakadályozniuk a támadás teljes terhet.

Csak kevés védtelen rendszer és eszköz volt titkosítva, de ez nem befolyásolta jelentősen a vállalatot. A támadás kísérlete mögött álló bűnözők váltságdíjat hagytak azon a néhány eszközön, amelyeket titkosítottak, és a váltságdíjigény 2,5 millió dollár volt. Természetesen, tekintettel arra, hogy a nagyszabású támadást meghiúsították, ezek egyikét sem fizették meg.

Amire azonban a ZDNet és a Sophos nyomozása rámutat, az az, hogy a támadás mögött álló rossz szereplőknek sikerült a törvényes ScreenConnect távoli hozzáférési szoftvert több mint száz vállalati gépen átcsempészniük, anélkül, hogy bárki észrevette volna és riasztott volna.

A Sophos Rapid Response csapatmenedzsere, Peter Mackenzie, a ZDnet által idézve elmondta, hogy a fenyegetett szereplők leggyakoribb módja a hálózat kezdeti megalapozásának általában az adathalász-felhasználókat vagy a VPN-sebezhetőségek vagy olyan rendszerek kihasználását jelenti, amelyekben nincs engedélyezve a többtényezős hitelesítés. VPN-jükön.

A REvil-t, a ransomware-t, amely szinte megütötte a meg nem nevezett vállalatot ebben a szerencsés fordulatban, sikeresen alkalmazták a JBS ellen is - Amerika legnagyobb friss marha- és sertéshústermelője, és például a JBS-szel együtt a cégnek sem volt ilyen szerencséje. A támadás mögött álló ransomware bandának óriási 11 millió dollárt sikerült kicsikarnia a JBS-ből.

Mackenzie néhány biztonsági tanácsot is adott, beleértve azt is, amit a biztonsági ipar egészében megpróbált megtanítani a vállalatokra és vállalkozásokra. A legfontosabb ajánlások közé tartozik a naprakész biztonsági szoftverek telepítése és kezelése egy központi elosztóról minden hálózati eszközön, és minden rendszer frissítése az összes futó szoftver legfrissebb javításával.