Атаки програм-вимагачів Conti на сервер Exchange тривають і стають дедалі ефективнішими. SophosLabs виявили, що кіберзлочинці встановили сім бекдорів під час однієї атаки.
Розслідування останніх атак на Exchange Server за допомогою програми-вимагача Conti показали, що кіберзлочинці отримують доступ до систем через ProxyShell. За останні кілька місяців було випущено різні критичні оновлення для уразливостей у Microsoft Exchange. ProxyShell є еволюцією методу атаки ProxyLogon. За останні місяці експлойт став одним із найпопулярніших інструментів, які використовують зловмисники, включно з тими, хто використовує нову програму-вимагач LockFile, яка вперше з’явилася в липні.
Оскільки відомості про цей вектор атаки розширилися, кіберзлочинці скоротили час перебування з тижнів до годин від моменту запуску програми-вимагача до остаточної активації програми-вимагача в цільових мережах.
Швидкі «ефективні» атаки
Широкий набір інструментів програми-вимагача Conti пропонує зловмисникам безліч варіантів атак (Зображення: Sophos).
Під час однієї атаки на основі ProxyShell, яку спостерігала Sophos, зловмисникам Conti вдалося отримати доступ до мережі жертви та налаштувати віддалену веб-оболонку менш ніж за хвилину. Через три хвилини зловмисники встановили другу резервну веб-оболонку. Лише за 30 хвилин вони отримали повний список комп’ютерів, контролерів домену та адміністраторів домену в мережі. Через чотири години зловмисники Conti отримали облікові дані облікових записів адміністратора домену та почали виконувати команди. Протягом 48 годин після першого доступу зловмисники викрали близько 1 терабайта даних. Через п’ять днів вони запустили програму-вимагач Conti по всій мережі, спеціально націлюючись на окремі мережеві папки на кожному комп’ютері.
Evil Legacy: 7 бекдорів
Під час зламу зловмисники Conti встановили в мережі не менше семи бекдорів: дві веб-оболонки Cobalt Strike і чотири комерційні інструменти віддаленого доступу (AnyDesk, Atera, Splashtop і Remote Utilities). Веб-оболонки, встановлені раніше, в основному використовувалися для початкового доступу; Cobalt Strike і AnyDesk є основними інструментами, які вони використовували для решти атаки.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.