Tűzfalakon és VPN-eken kúszik be a BlackCat zsaroló
A BlackCat ransomware először 2021. novemberében jelent meg a ransomware-as-a-service, azaz “ransomware, mint szolgáltatás” üzletág legújabb “vezetőjeként” és gyorsan felkeltette a figyelmet a szokatlan kódnyelvével, a Rusttal – írja a Sophos kiberbiztonsági cég a kártevőről szóló figyelmeztetésében..
Célba vett szervezetek tavaly decemberben fordultak a Sophoshoz öt támadás kivizsgálásával kapcsolatban, melyek közül 4 incidens során a kezdeti fertőzés különböző tűzfalgyártók termékei sebezhetőségeinek kihasználásával történt. Az egyik ilyen sebezhetőség 2018-ból származott, egy másik tavaly jelent meg. Miután a támadók a hálózaton belül voltak, meg tudták szerezni az ezeken a tűzfalakon tárolt VPN hitelesítő adatokat, hogy hozzáféréssel rendelkező felhasználóként jelentkezzenek be, majd távoli asztal protokoll (RDP, “remote desktop protocol”) használatával laterálisan mozogjanak a rendszerek között.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Ahogy a korábbi BlackCat incidensek során megfigyelhető volt, a támadók nyílt forráskódú és kereskedelmi forgalomban kapható eszközöket is felhasználtak, hogy további hátsó ajtókat és alternatív útvonalakat hozzanak létre a célba vett rendszerekhez való távoli hozzáféréshez. Ezek közé tartozott a TeamViewer, az nGrok, a Cobalt Strike és a Brute Ratel.
Christopher Budd, a Sophos fenyegetéskutató részlegének senior menedzsere szerint az elkövetők nagyon hatékonyan és eredményesen végzik a munkájukat. Bevált és biztos módszereket használnak, mint a sebezhető tűzfalak és VPN-ek támadása, mert tudják, hogy ezek még mindig működnek. De innovációt is mutatnak a biztonsági rendszerek kikerülése érdekében, mint például az újabb Brute Ratel C2 post-exploitation keretrendszerre való váltással a támadásaik során.
A támadásoknak nem volt egyértelmű mintázata: az Egyesült Államokban, Európában és Ázsiában fordultak elő nagyvállalatoknál, amelyek különböző iparági szegmensekben működnek. A célba vett vállalatok azonban osztoztak bizonyos környezeti sebezhetőségeken, amelyek egyszerűbbé tették a támadók dolgát, többek közt az alábbiakkal: elavult rendszerek, amelyek már nem voltak frissíthetőek a legújabb biztonsági javításokkal, a többlépcsős hitelesítés hiánya a VPN-ekhez, vagy lapos hálózati struktúra (ahol minden gép minden további gépet lát a hálózaton). A közös nevező a támadásokban, hogy könnyű volt őket végrehajtani. Egy esetben ugyanezek a BlackCat támadók egy hónappal a ransomware elindítása előtt kriptobányász eszközöket telepítettek.
A Sophos szakértői összeállítottak egy nGrok incidenskezelő útmutatót is, amely segít a biztonsági csapatoknak megakadályozni, hogy a támadók visszaéljenek a hálózatukon lévő nGrok eszközt.