Didelio masto „Ransomware“ ataka paversta saugumo ekspertų

Neįvardinta įmonė netrukus turėjo tapti naujausia neigiama antrašte ir patirti didžiulę išpirkos išpirkos reikalaujančių programų ataką, tačiau saugumo tyrėjams krizę pavyko išvengti per trumpą laiką.

„ZDNet“ pranešė apie incidentą, kurio metu dalyvavo didelis verslas, į kurį į laivą pritraukė saugumo ekspertų iš „Sophos“, atradus daugybę „Cobalt Strike“ egzempliorių, įdiegtų įmonės kompiuteriuose. Iš pirmo žvilgsnio tai gali neatrodyti nieko įtartina, nes „Cobalt Strike“ iš pradžių yra teisėtas įsiskverbimo testavimo įrankis. Tačiau per pastaruosius metus „Cobalt Strike“ paplito ir kibernetiniuose nusikaltėliuose.

Po to, kai bendrovė iš pradžių atvedė „Sophos“ į laivą, kad ištirtų „CobaltStrike“ išvaizdą tinkle, saugumo tyrėjai nustatė, kad visame tinkle dirbama ir ruošiamasi visapusiškos išpirkos išpirkos programos atakai.

Nusikaltėliai planavo naudoti „REvil“ išpirkos programą ir padaryti kuo daugiau žalos, masiškai šifruodami duomenis. Laimei, „Sophos“ klientui, saugumo tyrėjams pavyko pastebėti vykstančias pastangas parengti tinklą išpirkos išmanomosios programos apkrovai ir pavyko išvengti visos atakos.

Buvo užšifruotas tik nedidelis neapsaugotų sistemų ir įrenginių skaičius, tačiau tai neturėjo jokio reikšmingo poveikio įmonei. Nusikaltėliai už užpuolimo bandymą paliko išpirkos raštą tuose keliuose įrenginiuose, kuriuos jie užšifravo, ir išpirkos paklausa siekė 2,5 milijono dolerių. Žinoma, atsižvelgiant į tai, kad didelio masto ataka buvo pažeista, niekas iš jų nebuvo sumokėtas.

Tačiau „ZDNet“ ir „Sophos“ tyrimas nurodo, kad užpuolimo blogi veikėjai sugebėjo peršokti teisėtą „ScreenConnect“ nuotolinės prieigos programinę įrangą daugiau nei šimte įmonės mašinų niekam nepastebint ir neskambant pavojaus signalui.

„Sophos Rapid Response“ komandos vadovas Peteris Mackenzie, kurį cituoja „ZDnet“, teigė, kad labiausiai paplitęs grėsmės veikėjų būdas įsitvirtinti tinkle paprastai apima sukčiavimo vartotojus ar VPN pažeidžiamumų ar sistemų, kuriose nėra įgalintas kelių veiksnių autentifikavimas, naudojimą. savo VPT.

„REvil“, išpirkos programa, kuri beveik pasiekė neįvardytą bendrovę šiame laimingame įvykių posūkyje, taip pat buvo sėkmingai naudojama prieš didžiausią Amerikos šviežios jautienos ir kiaulienos gamintoją JBS, o, pavyzdžiui, su JBS, įmonei taip nepasisekė. Užpuolio išpirkos išpirkos gauja sugebėjo iš JBS išspausti didžiulius 11 milijonų dolerių.

Mackenzie taip pat pateikė keletą saugumo patarimų, įskaitant tai, ko visa saugumo pramonė bandė išmokyti įmones ir verslą. Svarbiausios rekomendacijos apima atnaujintos saugos programinės įrangos įdiegimą ir valdymą iš centralizuoto mazgo visuose tinklo įrenginiuose ir kiekvienos sistemos atnaujinimą su naujausiais visos naudojamos programinės įrangos pataisomis.