Storskalig Ransomware-attack avvärjd av säkerhetsexperter

Ett namnlöst företag var på väg att bli den senaste negativa rubriken och drabbas av en stor ransomware-attack, men säkerhetsforskare lyckades avvärja krisen med tiden.

ZDNet rapporterade om händelsen, som involverade ett stort företag som tog med sig säkerhetsexperter från Sophos ombord, efter upptäckten av ett stort antal Cobalt Strike-instanser installerade på företagets datorer. Vid första anblicken ser det kanske inte ut som något misstänkt, eftersom Cobalt Strike ursprungligen är ett legitimt penetreringsverktyg. Under det gångna året har dock Cobalt Strike ökat i användning bland cyberkriminella kretsar.

Efter att företaget ursprungligen tog Sophos ombord för att undersöka utseendet på CobaltStrike i nätverket fann säkerhetsforskarna att hela nätverket arbetades över och förbereddes för en fullskalig ransomware-attack.

Kriminella planerade att använda REvil ransomware och göra så mycket skada som möjligt och kryptera data massor. Lyckligtvis för Sophos kund lyckades säkerhetsforskarna upptäcka de pågående ansträngningarna för att förbereda nätverket för ransomware-nyttolasten och lyckades avvärja attacken.

Endast ett litet antal oskyddade system och enheter krypterades men det påverkade inte företaget på något väsentligt sätt. Brottslingar bakom det försökta attacken lämnade en lösenbrev på de få enheterna de krypterade, och lösenkravet var 2,5 miljoner dollar. Naturligtvis, med tanke på att den storskaliga attacken förstördes, betalades inget av det.

Vad ZDNet och Sophos-undersökningen påpekar är dock att de dåliga aktörerna bakom attacken lyckades smyga den legitima programvaran för fjärråtkomst till ScreenConnect på över hundra företagsmaskiner utan att någon märkte och ringde larmet.

Sophos Rapid Response teamchef, Peter Mackenzie, citerad av ZDnet, sa att det vanligaste sättet för hotaktörer att få ett första fotfäste i ett nätverk vanligtvis involverar nätfiskeanvändare eller utnyttjar VPN-sårbarheter eller system som inte har flerfaktorautentisering aktiverad på deras VPN.

REvil, ransomware som nästan drabbade det namnlösa företaget i denna lyckliga händelse, användes också framgångsrikt mot JBS - Amerikas största producent av färskt nötkött och fläsk, och i fallet med JBS hade företaget inte så tur. Ransomware-gänget bakom attacken lyckades pressa hela 11 miljoner dollar ut ur JBS.

Mackenzie gav också några säkerhetspekare, inklusive vad säkerhetsbranschen som helhet har försökt lära ut företag och företag. De bästa rekommendationerna inkluderar att hålla uppdaterad säkerhetsprogramvara installerad och hanterad från ett centraliserat nav på alla nätverksenheter och hålla varje enskilt system uppdaterad med de senaste korrigeringarna för all programvara som det kör.