Керована команда реагування на загрози Sophos зіткнулася з програмою-вимагачем REvil. Конкретний випадок показує, як працювали кіберзлочинці, як команда керованого реагування на загрози (MTR) нарешті взяла верх і які уроки компанії повинні винести з цього інциденту.
Як і багато інших сімей програм-вимагачів, кіберзлочинці використовують програми-вимагачі REvil для крадіжки та шифрування даних, щоб потім вимагати якомога більший викуп. Однак те, що робить REvil особливим, так це те, як доступне програмне забезпечення-вимагач. Ніби це був звичайний бізнес, виробники пропонують свій «продукт» як послугу, яку можна навіть взяти в оренду — це дає вам гарне свідчення того, що бізнес кіберзлочинців коштує мільйони.
Атака REvil: викуп 2 мільйони доларів
Нинішній приклад медіакомпанії, у якої шантажисти вимагали викуп понад два мільйони, показує, як відбувається атака та як можна ефективно протидіяти злочинцям. Маючи близько 600 мережевих пристроїв, включаючи 25 серверів і три домени Active Directory для цілодобової роботи без вихідних, ця компанія також була змушена перенести багато своєї щоденної роботи у віддалені офіси після хвилі COVID-24. Зовнішні робочі станції були підключені до мережі та налагоджено підключення до Інтернету – все добродушні дії з точки зору необхідних вимог. Але це відкрило двері для атаки REvil.
Проникнувши в мережу, зловмисники пробиралися до незахищених пристроїв та інших онлайн-систем, встановлювали свої інструменти атаки та використовували їх для поширення атаки на більше пристроїв.
Сили швидкого реагування
Коли групу швидкого реагування Sophos викликали для проведення ретельного дослідження місця злочину, швидко з’ясувалося, що зловмисники REvil уже зламали низку облікових записів і вільно переміщуються між незахищеними комп’ютерами. Уважніше вивчення додатків показало, що 130 кінцевих точок були оснащені програмним забезпеченням Screen Connect 130, яке часто використовується як інструмент для співпраці у віддалених офісах. Насправді компанія не знала про ці інсталяції, припускаючи, що зловмисники встановили цей інструмент разом із іншими програмами для своїх злочинних цілей.
Прямий обмін ударами
Коли зловмисники почали копатися глибше в мережі, вони знали, що їх, швидше за все, виявлять і заблокують, і що команда MTR переслідує їх. Вони знали, що інструменти виявлення на основі поведінки використовуються для їх відстеження, і що CryptoGuard виявить і заблокує шифрування. Потім зловмисники спробували проникнути в інші незахищені кінцеві точки, щоб запустити там програму-вимагач.
Прямий обмін ударами між командою MTR і зловмисником був інтенсивнішим і складнішим, ніж зазвичай, оскільки медіа-компанії доводилося підтримувати більшість серверів онлайн, щоб підтримувати цілодобові системи та трансляції. Згодом порив почав стихати. На другий день, коли спорадичні вхідні атаки все ще були помічені, було зрозуміло, що основна спроба атаки закінчилася та провалилася. Переможець цієї битви був очевидний: команда ССО.
Баланс і аналіз
Могло бути значно гірше. Команда ІТ-безпеки виявила, що збиток був здебільшого обмежений незахищеними пристроями та доменами. Онлайн-домен, який раніше був захищений повітряним проміжком (параметр безпеки мережі), було повністю знищено, і його довелося відновлювати, а резервні копії в Інтернеті також видалено.Хороша новина: хоча зловмисникам вдалося проникнути в мережу, компанія не була повністю паралізований, і йому також не довелося платити непомірний викуп.
«У більшості випадків атака вже відбувається, коли нас викликають. Тоді ми можемо допомогти стримати, нейтралізувати та дослідити наслідки», — говорить Пітер Маккензі, менеджер швидкого реагування Sophos. «У цьому випадку нас попросили про допомогу, і ми були готові під час останньої фази атаки, і ми змогли побачити як початкову рішучість нападників, так і зростаюче розчарування. І вони застосували проти нас усю доступну зброю, стріляючи з усіх боків, з яких могли».
Два особливо важливих відкриття
Перше стосується управління ризиками. Коли компанія вносить зміни в середовище, наприклад перемикає мережу з розривної мережі на онлайнову, як у випадку цієї компанії, ризик змінюється. З’являються нові вразливості, які необхідно виявити та усунути командам ІТ-безпеки.
Другий висновок стосується захисту даних. Перший зламаний обліковий запис у цій атаці належав члену ІТ-команди. Усі дані було стерто. Це означає, що така цінна інформація, як B. Деталі початкового проникнення, які могли бути використані для судово-медичного аналізу та розслідування, були втрачені. Чим більше інформації залишається недоторканим, тим легше зрозуміти, що сталося, і переконатися, що це не може повторитися.
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.