Перебіг атаки програм-вимагачів за допомогою Hive досліджувала команда криміналістів Varonis під час розгортання клієнта. Таким чином було задокументовано атаку та дії кіберзлочинців.
Вперше виявлений у червні 2021 року Hive використовується кіберзлочинцями як програма-вимагач як послуга для атак на заклади охорони здоров’я, некомерційні організації, роздрібні торговці, комунальні служби та інші галузі по всьому світу. Найчастіше вони використовують загальні тактики, прийоми та процедури програм-вимагачів (TTP) для компрометації пристроїв жертв. Серед іншого, фішингові електронні листи зі зловмисними вкладеннями, викрадені облікові дані VPN і вразливості використовуються для проникнення в цільові системи. Під час візиту до клієнта команда криміналістів Varonis дослідила таку атаку та змогла задокументувати дії кіберзлочинців.
Фаза 1: ProxyShell і WebShell
Спочатку зловмисники використали відомі вразливості ProxyShell серверів Exchange, а потім розмістили шкідливий бекдор-скрипт (webshell) у загальнодоступному каталозі на сервері Exchange. Потім ці веб-скрипти могли запускати шкідливий код PowerShell через скомпрометований сервер із правами SYSTEM.
Етап 2: Кобальтовий удар
Шкідливий код PowerShell завантажив додаткові стендери з віддаленого сервера керування та керування, підключеного до фреймворку Cobalt Strike. Програми етапів не записувалися у файлову систему, а виконувалися в пам'яті.
Фаза 3: Mimikatz і Pass-The-Hash
Використовуючи привілеї SYSTEM, зловмисники створили нового системного адміністратора під назвою «користувач» і перейшли до фази дампа облікових даних, де розгорнули Mimikatz. Використовуючи його модуль "logonPasswords", паролі та хеші NTLM облікових записів, які ввійшли в систему, можна було витягти, а результати зберегти в текстовому файлі в локальній системі. Після того, як зловмисники отримали хеш NTLM адміністратора, вони використовували техніку передачі хешу, щоб отримати високопривілейований доступ до інших ресурсів у мережі.
Етап 4: пошук конфіденційної інформації
Далі зловмисники провели широку розвідку по всій мережі. На додаток до пошуку файлів, які містять «пароль» у своїх іменах, також використовувалися мережеві сканери та збирали мережеві IP-адреси та назви пристроїв, а потім RDP на сервери резервного копіювання та інші ключові ресурси.
Етап 5: Розгортання програм-вимагачів
Нарешті, спеціальне корисне навантаження зловмисного програмного забезпечення, написане на Golang під назвою Windows.exe, було розповсюджено та запущено на різних пристроях. Тут було виконано кілька операцій, таких як видалення тіньових копій, вимкнення продуктів безпеки, видалення журналів подій Windows і видалення прав доступу. Таким чином було гарантовано плавний і широкий процес шифрування. На етапі шифрування також було створено повідомлення про заяву про програму-вимагач.
Надзвичайне збільшення атак програм-вимагачів
Атаки програм-вимагачів значно почастішали за останні роки, і вони залишаються кращим методом для фінансово мотивованих кіберзлочинців. Наслідки атаки можуть бути руйнівними: вона може завдати шкоди репутації компанії, назавжди порушити регулярні операції та призвести до тимчасової, можливо, остаточної втрати конфіденційних даних, а також до значних штрафів згідно з GDPR.
Хоча виявлення таких інцидентів і реагування на них може бути складним завданням, більшості зловмисних дій можна запобігти за допомогою правильних інструментів безпеки, наявних планів реагування на інциденти та виправлення відомих уразливостей. Тому команда криміналістів Varonis рекомендує такі дії:
- Виправте сервер Exchange до найновіших накопичувальних оновлень Exchange (CU) і оновлень безпеки (SU), наданих Microsoft.
- Вимагайте від користувачів використання складних паролів і регулярно змінюйте їх.
- Використовуйте рішення Microsoft LAPS, щоб скасувати дозволи локального адміністратора для облікових записів домену (підхід із найменшими привілеями). Періодично перевіряйте наявність неактивних облікових записів користувачів і видаляйте їх.
- Блокуйте використання SMBv1 і використовуйте підписання SMB для захисту від атак із використанням хешу.
- Обмежте права доступу співробітників до файлів, які їм дійсно потрібні для роботи.
- Автоматично виявляйте та запобігайте змінам керування доступом, які порушують вашу політику.
- Навчіть своїх співробітників принципам кібербезпеки. Регулярне підвищення обізнаності має бути фундаментальною частиною корпоративної культури.
- Встановіть базові методи безпеки та кодекси поведінки, які описують, як обробляти та захищати інформацію компанії та клієнтів та інші важливі дані.
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,