Atak ransomware na dużą skalę, któremu eksperci ds. bezpieczeństwa zapobiegli

Nienazwana firma miała stać się najnowszym negatywnym nagłówkiem i doznać poważnego ataku oprogramowania ransomware, ale badaczom bezpieczeństwa udało się w porę zapobiec kryzysowi.

ZDNet poinformował o incydencie, w którym duża firma sprowadziła na pokład ekspertów ds. bezpieczeństwa z Sophos, po odkryciu dużej liczby instancji Cobalt Strike zainstalowanych na komputerach firmy. Na pierwszy rzut oka może to nie wyglądać podejrzanie, ponieważ Cobalt Strike jest pierwotnie legalnym narzędziem do testowania penetracji. Jednak w ciągu ostatniego roku Cobalt Strike zyskał również na popularności w kręgach cyberprzestępczych.

Po tym, jak firma początkowo wprowadziła Sophos na pokład, aby zbadać pojawienie się CobaltStrike w sieci, analitycy bezpieczeństwa odkryli, że cała sieć była opracowywana i przygotowywana na pełnowymiarowy atak ransomware.

Przestępcy planowali wykorzystać oprogramowanie ransomware REvil i wyrządzić jak najwięcej szkód, masowo szyfrując dane. Na szczęście dla klienta Sophos analitycy bezpieczeństwa zdołali dostrzec trwające wysiłki w celu przygotowania sieci na ładunek ransomware i zdołali odwrócić cały ciężar ataku.

Tylko niewielka liczba niechronionych systemów i urządzeń została zaszyfrowana, ale nie wpłynęło to w znaczący sposób na firmę. Przestępcy stojący za próbą ataku zostawili okup na tych kilku urządzeniach, które zaszyfrowali, a żądanie okupu wyniosło 2,5 miliona dolarów. Oczywiście, biorąc pod uwagę, że atak na dużą skalę został udaremniony, nic z tego nie zostało zapłacone.

ZDNet i śledztwo Sophos wskazują jednak, że źli aktorzy stojący za atakiem zdołali przemycić legalne oprogramowanie do zdalnego dostępu ScreenConnect na ponad stu maszynach firmowych, nie zauważając nikogo i nie wywołując alarmu.

Menedżer zespołu Sophos Rapid Response, Peter Mackenzie, cytowany przez ZDnet, powiedział, że najczęstszym sposobem, w jaki cyberprzestępcy mogą zdobyć wstępną pozycję w sieci, zwykle jest phishing lub wykorzystanie luk w zabezpieczeniach VPN lub systemów, które nie mają włączonej funkcji uwierzytelniania wieloskładnikowego na ich sieci VPN.

REvil, oprogramowanie ransomware, które omal nie uderzyło w nienazwaną firmę w tym szczęśliwym obrocie wydarzeń, zostało również z powodzeniem wykorzystane przeciwko JBS - największemu amerykańskiemu producentowi świeżej wołowiny i wieprzowiny, aw przypadku JBS firma nie miała tyle szczęścia. Gang oprogramowania ransomware stojący za tym atakiem zdołał wycisnąć z JBS aż 11 milionów dolarów.

Mackenzie podał również kilka wskazówek dotyczących bezpieczeństwa, w tym tego, czego branża bezpieczeństwa jako całość próbuje nauczyć firmy i biznesy. Najważniejsze zalecenia obejmują utrzymywanie aktualnego oprogramowania zabezpieczającego zainstalowanego i zarządzanego z centralnego koncentratora na wszystkich urządzeniach sieciowych oraz aktualizowanie każdego systemu za pomocą najnowszych poprawek dla całego uruchomionego oprogramowania.