П’ять днів особистого знайомства з програмою-вимагачем Conti: у трьох звітах Sophos детально описує процес справжньої атаки програми-вимагача Conti і те, як її вдалося зупинити. Також включено: поведінку атак, технічний досвід і практичні поради для ІТ-адміністраторів.
Атаки програм-вимагачів Conti, які з середини минулого року дедалі частіше призводять до зловживань, є вражаючим прикладом того, як кіберзлочинці використовують сучасні та складні технології для цілеспрямованого планування своїх атак і таким чином значно підвищують свої шанси на успішне проникнення в корпоративні мережі. У трьох детальних звітах команда Sophos Rapid Response описує реальну атаку та те, як вона розгорталася протягом п’яти днів: «Це була дуже швидка та потенційно руйнівна атака», — каже Пітер Маккензі, менеджер Sophos Rapid Response. «Під час нашого судового розслідування ми побачили, що зловмисники скористалися вразливістю брандмауера, щоб скомпрометувати мережу та отримати доступ до даних адміністрування домену всього за 16 хвилин. Після цього зловмисники розгорнули агенти Cobalt Strike на серверах, які сформували основу атаки програм-вимагачів».
Кіберзловмисник живе за клавіатурою
Особливістю цієї атаки було те, що кіберзлочинці контролювали її самі, а не залишили все на автоматизму. За допомогою цих керованих людьми атак зловмисники можуть адаптуватися та реагувати на мінливі ситуації в реальному часі. Завдяки такій гнучкості ці атаки мають вищі шанси на успіх, і жертви не відчувають заспокоєння лише тому, що початкову спробу атаки було виявлено та зірвано. Тому що тоді відбувається те, що описано в наступному щоденнику справжньої атаки програм-вимагачів Conti - на щастя, у цьому випадку зі щасливим кінцем.
день нападу 1
Зловмисники проникають через брандмауер і їм потрібно лише 16 хвилин, щоб зламати обліковий запис адміністратора на двох серверах жертви. Потім вони розгортають Cobalt Strike Agent на першому сервері, поки ця атака не буде помічена та зупинена жертвою. Лише через 15 хвилин зловмисники повторюють свою дію на другому сервері, і ця атака залишається непоміченою. Як тільки зловмисники потрапляють у двері, «пробираються» через корпоративну мережу жертви та заражають третій сервер.
день атаки 2
Ніяких нападів потерпілий не помічає.
день атаки 3
Зловмисники протягом десяти годин шукають файлові папки з потенційно цікавою інформацією та витягують їх за допомогою законного інструменту керування з відкритим кодом RClone, який непомітно встановили на третьому зламаному сервері. Серед іншого, це стосується даних фінансового, кадрового та IT-департаментів.
день атаки 4
Використовуючи те, що вони дізналися про кінцеву точку та структуру сервера з першого дня, зловмисники спочатку встановлюють агент Cobalt Strike на четвертий сервер, щоб перевірити програму-вимагач. Після повідомлення про успіх вони встановлюють Cobalt Strike майже на 1 пристроях і ще через 300 хвилин запускають програму-вимагач Conti. Зламані кінцеві точки завантажують код з різних командних і контрольних адрес і виконують його. Підступна річ у цьому: дані не записуються на жорсткі диски, але програма-вимагач запускається безпосередньо в основній пам’яті, щоб уникнути виявлення. Потім програма-вимагач намагається зашифрувати дані протягом трьох годин, але блокується на комп’ютерах, захищених Sophos Intercept X, незважаючи на тактику обфускації. Атакована компанія перериває інтернет-з’єднання, за винятком програми Sophos, вимикає критичну інфраструктуру та зупиняє робочі процеси. Викликається команда швидкого реагування Sophos, яка ідентифікує заражені кінцеві точки та сервери, зупиняє різні процеси атак і починає відновлювати скомпрометовані області.
день нападу 5
Остаточне розслідування, проведене Групою швидкого реагування, виявило друге потенційне викрадання даних, другий зламаний обліковий запис і підозрілий трафік RDP (протокол віддаленого робочого столу) через вразливий брандмауер. У той же час жертва відновлює незахищені кінцеві точки та завантажує критичну інфраструктуру.
Мораль історії
Часто ІТ-адміністратори опиняються на лінії прямого вогню під час атаки програм-вимагачів. Саме вони приходять вранці на роботу і знаходять все, зашифроване запискою про викуп. Ґрунтуючись на досвіді своєї групи швидкого реагування, Sophos розробила список дій, щоб найкраще впоратися зі складними першими годинами та днями після атаки програм-вимагачів.
- Вимкніть протокол віддаленого робочого стола (RDP) для Інтернету, щоб запобігти доступу кіберзлочинців до мереж.
- Якщо доступ до RDP абсолютно необхідний, його слід захищати через VPN-з’єднання.
- Багаторівневі заходи безпеки, включаючи функції виявлення та реагування на кінцеві точки (EDR) і керовані групи реагування для цілодобового моніторингу мереж, запобігають атакам і відіграють ключову роль у захисті та виявленні кібератак.
- Постійний моніторинг відомих провідних індикаторів, які часто передують атакам програм-вимагачів.
- Створення плану реагування на інциденти, який повинен постійно оновлюватися відповідно до змін в ІТ-інфраструктурі та компанії.
- Чудову допомогу можуть запропонувати сторонні експерти з великим досвідом.
Три звіти про програми-вимагачі Conti від Sophos
У трьох звітах Sophos атака програм-вимагачів Conti описана з різних точок зору та надані конкретні інструкції щодо дій у разі атаки. Англомовні звіти можна завантажити за посиланнями:
Час атаки програми-вимагача Conti:
Щоденна атака програм-вимагачів Conti
Технічний опис SophosLabs щодо уникливого характеру програми-вимагача Conti:
Програмне забезпечення-вимагач Conti: ухильний за своєю природою
Інструкції, включаючи контрольний список із 12 пунктів для ІТ-адміністраторів щодо боротьби з атаками:
Чого очікувати, коли вас атакує програма-вимагач Conti
Дізнайтесь більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.