Sophos:首次發(fā)現(xiàn)三個(gè)勒索軟件連續(xù)攻擊同一個(gè)網(wǎng)絡(luò)
Sophos X-Ops在報(bào)告中稱某汽車供應(yīng)商的系統(tǒng)在5月的兩周內(nèi)被三個(gè)不同的勒索軟件團(tuán)伙入侵,文件遭多重加密,其中兩次攻擊發(fā)生的間隔甚至是在兩小時(shí)內(nèi)。
在這些攻擊之前,2021年12月,一個(gè)可能的初始訪問代理(IAB)對(duì)該公司的系統(tǒng)進(jìn)行了初步入侵,攻擊者利用防火墻的錯(cuò)誤配置,使用遠(yuǎn)程桌面協(xié)議(RDP)連接入侵域控制器服務(wù)器。
Sophos X-Ops在本周三發(fā)布的報(bào)告稱雖然雙重勒索軟件攻擊越來越常見,但這是他們看到的第一起三個(gè)獨(dú)立的勒索軟件攻擊者使用同一個(gè)入口點(diǎn)來攻擊一個(gè)組織的事件。
兩個(gè)月內(nèi)三次被攻破
在最初的入侵之后,LockBit、Hive和ALPHV/BlackCat的附屬攻擊組織也分別在4月20日、5月1日和5月15日進(jìn)入了受害者的網(wǎng)絡(luò)。
5月1日,LockBit和Hive勒索軟件的有效載荷在兩小時(shí)內(nèi)利用合法的PsExec和PDQ Deploy工具在整個(gè)網(wǎng)絡(luò)中分發(fā),在每次攻擊中加密了十多個(gè)系統(tǒng),與LockBit關(guān)聯(lián)的攻擊組織還竊取了數(shù)據(jù)并將其外流到Mega云存儲(chǔ)服務(wù)。
Sophos X-Ops 在報(bào)告中對(duì)事件細(xì)節(jié)進(jìn)行了補(bǔ)充,其表示由于Hive攻擊是在Lockbit之后2小時(shí)開始的,Lockbit勒索軟件仍在運(yùn)行,因此這兩個(gè)小組不斷發(fā)現(xiàn)沒有標(biāo)志著它們被加密的擴(kuò)展名的文件。
兩周后,5月15日,當(dāng)這家汽車供應(yīng)商的IT團(tuán)隊(duì)仍在恢復(fù)系統(tǒng)時(shí),一個(gè)BlackCat攻擊者也連接到了被LockBit和Hive入侵的同一管理服務(wù)器。在安裝了合法的Atera Agent遠(yuǎn)程訪問解決方案后,攻擊者獲得了網(wǎng)絡(luò)上的持久性,并滲出了被盜數(shù)據(jù)。
在半小時(shí)內(nèi),BlackCat的附屬攻擊機(jī)構(gòu)在網(wǎng)絡(luò)上使用PsExec交付了自己的勒索軟件有效載荷,在使用被攻擊的憑證在網(wǎng)絡(luò)上橫向移動(dòng)后,加密了六臺(tái)機(jī)器。
攻擊時(shí)間線
通過刪除影子副本和清除被攻擊系統(tǒng)上的Windows事件日志,這個(gè)最后的攻擊者也使恢復(fù)嘗試和Sophos團(tuán)隊(duì)的事件響應(yīng)工作變得復(fù)雜。
BlackCat刪除了Sophos可以用來追溯這三個(gè)勒索軟件團(tuán)伙在受害者網(wǎng)絡(luò)中活動(dòng)的證據(jù)。
Sophos的事件響應(yīng)人員在5月中旬協(xié)助受害者進(jìn)行攻擊調(diào)查時(shí),發(fā)現(xiàn)文件被Lockbit、Hive和BlackCat勒索軟件加密了三次,并在被加密的系統(tǒng)上發(fā)現(xiàn)了三種不同的贖金筆記。
“事實(shí)上,正如下面的截圖所示,一些文件甚至被加密了五次,”Sophos團(tuán)隊(duì)向外界透露稱。“因?yàn)镠ive攻擊是在Lockbit之后2小時(shí)開始的,Lockbit勒索軟件仍在運(yùn)行,所以這兩個(gè)小組不斷發(fā)現(xiàn)沒有標(biāo)志著它們被加密的擴(kuò)展的文件。”
被加密了5次的文件
如何抵御勒索軟件
Sophos還發(fā)布了一份白皮書,分享了關(guān)于防御來自多個(gè)勒索軟件團(tuán)伙的類似攻擊的指導(dǎo)。
建議企業(yè)保持其系統(tǒng)的最新狀態(tài),并調(diào)查其環(huán)境中是否有威脅者引入的后門或漏洞,作為失敗的保障,以便在被驅(qū)逐時(shí)重新獲得對(duì)網(wǎng)絡(luò)的訪問。
Sophos還建議鎖定VNC和RDP等服務(wù)或從外部訪問的遠(yuǎn)程訪問解決方案。如果需要遠(yuǎn)程訪問,系統(tǒng)只能通過VPN到達(dá),并且只能通過具有強(qiáng)制多因素認(rèn)證(MFA)和強(qiáng)密碼的賬戶。網(wǎng)絡(luò)也應(yīng)該被分割,將關(guān)鍵的服務(wù)器分離到VLAN中,整個(gè)網(wǎng)絡(luò)都應(yīng)該被掃描和審計(jì),以及時(shí)發(fā)現(xiàn)未打補(bǔ)丁和有漏洞的設(shè)備。
消息來源:https://www.bleepingcomputer.com/news/security/automotive-supplier-breached-by-3-ransomware-gangs-in-2-weeks/
