Bir otomotiv tedarikçisi, Mayıs ayında iki hafta boyunca sistemlerini ihlal etti ve dosyaları üç farklı fidye yazılımı çetesi tarafından şifrelendi; saldırılardan ikisi sadece iki saat içinde gerçekleşti.
Saldırılar, Aralık 2021’de bir Uzak Masaüstü Protokolü (RDP) bağlantısı kullanarak etki alanı denetleyicisi sunucusunu ihlal etmek için bir güvenlik duvarının yanlış yapılandırmasından yararlanan olası bir ilk erişim komisyoncusu (IAB) tarafından şirket sistemlerinin ilk ihlalini takip etti.
Sophos X-Ops olay müdahale ekipleri, ikili fidye yazılımı saldırıları giderek yaygınlaşsa da, “bu, üç ayrı fidye yazılımı aktörünün tek bir kuruluşa saldırmak için aynı giriş noktasını kullandığı gördüğümüz ilk olaydır” bir raporda söyledi Çarşamba yayınlandı.
İki ay içinde üç kez ihlal edildi
İlk güvenlik açığından sonra LockBit, Hive ve ALPHV/BlackCat iştirakleri de sırasıyla 20 Nisan, 1 Mayıs ve 15 Mayıs’ta kurbanın ağına erişim kazandı.
1 Mayıs’ta LockBit ve Hive fidye yazılımı yükleri, her saldırı sırasında bir düzineden fazla sistemi şifrelemek için meşru PsExec ve PDQ Deploy araçları kullanılarak ağ genelinde dağıtıldı (LockBit iştiraki ayrıca verileri çaldı ve Mega bulut depolama alanına aktardı). hizmet.
Sophos X-Ops, “Hive saldırısı Lockbit’ten 2 saat sonra başladığından, Lockbit fidye yazılımı hala çalışıyordu – bu nedenle her iki grup da dosyaların şifreli olduğunu belirten uzantı olmadan bulmaya devam etti.” katma.
İki hafta sonra, 15 Mayıs’ta, otomotiv tedarikçisinin BT ekibi hala sistemleri geri yüklerken, LockBit ve Hive tarafından ele geçirilen aynı yönetim sunucusuna bir BlackCat tehdit aktörü de bağlandı.
Meşru Atera Agent uzaktan erişim çözümünü kurduktan sonra, ağ üzerinde kalıcılık kazandılar ve çalınan verileri sızdırdılar.
Yarım saat içinde, BlackCat iştiraki, ele geçirilmiş kimlik bilgilerini kullanarak ağda yanal olarak hareket ettikten sonra altı makineyi şifrelemek için PsExec kullanarak ağ üzerinde kendi fidye yazılımı yüklerini teslim etti.
Son çıkan adam kapıyı kilitler
Bu son saldırgan, gölge kopyaları silerek ve güvenliği ihlal edilmiş sistemlerdeki Windows Olay Günlüklerini temizleyerek, kurtarma girişimlerini ve Sophos ekibinin olay müdahale çabalarını da karmaşık hale getirdi.
BlackCat üyesi, Sophos’un kurbanın ağındayken üç fidye yazılımı çetesinin faaliyetlerini takip etmek için kullanabileceğine dair kanıtları sildi.
Sophos’un Mayıs ortasındaki saldırı soruşturmasında kurbana yardım eden olaya müdahale ekipleri, Lockbit, Hive ve BlackCat fidye yazılımlarıyla üç kez şifrelenmiş dosyaların yanı sıra şifreli sistemlerde üç farklı fidye notu buldu.
Sophos ekibi, “Aslında, aşağıdaki ekran görüntüsünde gösterildiği gibi, bazı dosyalar beş kez şifrelenmiş bile” dedi.
“Hive saldırısı Lockbit’ten 2 saat sonra başladığından, Lockbit fidye yazılımı hala çalışıyordu – bu nedenle her iki grup da şifrelenmiş olduklarını belirten uzantı olmadan dosyaları bulmaya devam etti.”
Fidye yazılımlarına karşı nasıl savunulur
Sophos ayrıca, birden fazla fidye yazılımı çetesinden gelen benzer saldırılara karşı savunma konusunda rehberlik paylaşım kılavuzu yayınladı.
Kuruluşlara, sistemlerini güncel tutmaları ve tehdit aktörleri tarafından tahliye edildiklerinde ağa erişimi yeniden kazanmanın bir güvenlik önlemi olarak ortaya çıkan arka kapılar veya güvenlik açıkları için ortamlarını araştırmaları tavsiye edilir.
Sophos ayrıca VNC ve RDP gibi hizmetleri veya dışarıdan erişilebilen uzaktan erişim çözümlerini kilitlemeyi önerir.
Bunlara VPN aracılığıyla ve yalnızca zorunlu çok faktörlü kimlik doğrulama (MFA) ve uzaktan erişim gerekiyorsa güçlü parolalara sahip hesaplar aracılığıyla erişilebilir olmalıdır.
Ağlar ayrıca kritik sunucular VLAN’lara ayrılarak bölümlere ayrılmalı ve tüm ağ yama uygulanmamış ve savunmasız cihazlar için taranmalı ve denetlenmelidir.