Storskala Ransomware-angrep avverget av sikkerhetseksperter

Et ikke navngitt selskap var i ferd med å bli den siste negative overskriften og lide et stort ransomware-angrep, men sikkerhetsforskere klarte å avverge krisen på kort tid.

ZDNet rapporterte om hendelsen, som involverte en stor virksomhet som hentet sikkerhetseksperter fra Sophos ombord, etter oppdagelsen av et stort antall Cobalt Strike-forekomster installert på selskapets datamaskiner. Ved første øyekast ser det kanskje ikke ut som noe mistenkelig, siden Cobalt Strike opprinnelig er et legitimt penetreringsverktøy. I løpet av det siste året har Cobalt Strike imidlertid også økt bruken blant kriminelle kretser.

Etter at selskapet opprinnelig tok Sophos ombord for å undersøke utseendet til CobaltStrike på nettverket, fant sikkerhetsforskerne at hele nettverket ble overarbeidet og forberedt på et fullskala ransomware-angrep.

Kriminelle planla å bruke REvil ransomware og gjøre så mye skade som mulig, kryptere data i massevis. Heldigvis for Sophos 'kunde klarte sikkerhetsforskerne å få øye på den pågående innsatsen for å forberede nettverket for løsepenger, og klarte å avverge angrepet.

Bare et lite antall ubeskyttede systemer og enheter ble kryptert, men det påvirket ikke selskapet på noen vesentlig måte. Kriminelle bak angrepsforsøket la igjen en løsepengernotat på de få enhetene de krypterte, og løsepengekravet var på 2,5 millioner dollar. Gitt at det store angrepet ble ødelagt, ble selvfølgelig ingenting av det betalt.

Det ZDNet og Sophos-etterforskningen påpeker, er imidlertid at de dårlige skuespillerne bak angrepet klarte å snike den legitime ScreenConnect-programvaren for ekstern tilgang på over hundre selskapsmaskiner uten at noen la merke til og ringte alarmen.

Sophos Rapid Response-teamleder, Peter Mackenzie, sitert av ZDnet, sa at den vanligste måten for trusselaktører å få et innledende fotfeste på et nettverk vanligvis innebærer phishing-brukere eller utnyttelse av VPN-sårbarheter eller systemer som ikke har flerfaktorautentisering aktivert. på sine VPN-er.

REvil, løsepenger som nesten traff det ikke navngitte selskapet i denne heldige begivenheten, ble også brukt med hell mot JBS - Amerikas største produsent av fersk biff og svin, og i tilfelle med JBS var selskapet ikke så heldig. Ransomware-gjengen bak dette angrepet klarte å presse hele 11 millioner dollar ut av JBS.

Mackenzie ga også noen få sikkerhetspekere, inkludert hva sikkerhetsindustrien som helhet har prøvd å lære selskaper og bedrifter. De beste anbefalingene inkluderer å holde oppdatert sikkerhetsprogramvare installert og administrert fra et sentralisert hub på alle nettverksenheter og holde hvert eneste system oppdatert med de nyeste oppdateringene for all programvare det kjører.