Уникальный случай расследовали Sophos X-Ops, выпустив соответствующий отчет (https://news.sophos.com/en-us/2022/...omotive-supplier-in-triple-ransomware-attack/).
Случилось все в мае месяце, когда файлы жертвы ransomware были зашифрованы тремя различными бандами вымогателей, причем две атаки произошли всего за два часа.
Атаки последовали за первоначальным взломом систем компании вероятным брокером начального доступа IAB в декабре 2021 года, который использовал неправильную конфигурацию брандмауэра для взлома сервера контроллера домена с использованием подключения по протоколу удаленного рабочего стола RDP.
После первоначальной компрометации операторы LockBit, Hive и ALPHV/BlackCat также получили доступ к сети жертвы 20 апреля, 1 мая и 15 мая соответственно.
1 мая полезные нагрузки LockBit и Hive были распространены по сети с помощью легитимных инструментов PsExec и PDQ Deploy в течение двух часов для шифрования более десятка систем во время каждой атаки. При этом оператор LockBit еще успел эксфильтровать данные в облачное хранилище Mega.
Как отметили исследователи ( ), поскольку атака Hive началась через 2 часа после старта шифрования Lockbit, обе группы натыкались на уже зашифрованные файлы.
Две недели спустя, 15 мая, пока ИТ-команда автомобильного поставщика все еще работала над восстановлением систем, оператор BlackCat также подключился к серверу управления, скомпрометированному ранее LockBit и Hive.
После установки удаленного доступа через Atera Agent, хакеры получили постоянство в сети и извлекли украденные данные.
Далее в течение получаса BlackCat доставила в сеть свою полезную нагрузку, используя PsExec для шифрования шести машин после бокового перемещения по сети с использованием скомпрометированных учетных данных.
Удалив теневые копии и очистив журналы событий Windows на скомпрометированных системах, последний злоумышленник также усложнил попытки восстановления и усилия группы Sophos по реагированию на инциденты.
BlackCat потер доказательства, которые Sophos могла использовать для отслеживания активности трех групп вымогателей, находясь в сети жертвы.
По итогу, специалисты Sophos в середине мая обнаружили файлы, трижды зашифрованные с помощью программ-вымогателей Lockbit, Hive и BlackCat, а также три разных заметки о выкупе в зашифрованных системах.
Sophos также представили рекомендации по защите от аналогичных атак со стороны нескольких групп вымогателей.
Ресерчеры также предлагает блокировать такие службы, как VNC и RDP, или решения для удаленного доступа, доступные извне. Они должны быть доступны через VPN и только через учетные записи с принудительной многофакторной аутентификацией (MFA) и надежными паролями, если требуется удаленный доступ.
Сети также должны быть сегментированы путем разделения важных серверов на VLAN, а вся сеть должна быть просканирована и проверена на наличие неисправленных и уязвимых устройств.
P.S и что это? :\
Случилось все в мае месяце, когда файлы жертвы ransomware были зашифрованы тремя различными бандами вымогателей, причем две атаки произошли всего за два часа.
Атаки последовали за первоначальным взломом систем компании вероятным брокером начального доступа IAB в декабре 2021 года, который использовал неправильную конфигурацию брандмауэра для взлома сервера контроллера домена с использованием подключения по протоколу удаленного рабочего стола RDP.
После первоначальной компрометации операторы LockBit, Hive и ALPHV/BlackCat также получили доступ к сети жертвы 20 апреля, 1 мая и 15 мая соответственно.
1 мая полезные нагрузки LockBit и Hive были распространены по сети с помощью легитимных инструментов PsExec и PDQ Deploy в течение двух часов для шифрования более десятка систем во время каждой атаки. При этом оператор LockBit еще успел эксфильтровать данные в облачное хранилище Mega.
Как отметили исследователи ( ), поскольку атака Hive началась через 2 часа после старта шифрования Lockbit, обе группы натыкались на уже зашифрованные файлы.
Две недели спустя, 15 мая, пока ИТ-команда автомобильного поставщика все еще работала над восстановлением систем, оператор BlackCat также подключился к серверу управления, скомпрометированному ранее LockBit и Hive.
После установки удаленного доступа через Atera Agent, хакеры получили постоянство в сети и извлекли украденные данные.
Далее в течение получаса BlackCat доставила в сеть свою полезную нагрузку, используя PsExec для шифрования шести машин после бокового перемещения по сети с использованием скомпрометированных учетных данных.
Удалив теневые копии и очистив журналы событий Windows на скомпрометированных системах, последний злоумышленник также усложнил попытки восстановления и усилия группы Sophos по реагированию на инциденты.
BlackCat потер доказательства, которые Sophos могла использовать для отслеживания активности трех групп вымогателей, находясь в сети жертвы.
По итогу, специалисты Sophos в середине мая обнаружили файлы, трижды зашифрованные с помощью программ-вымогателей Lockbit, Hive и BlackCat, а также три разных заметки о выкупе в зашифрованных системах.
Sophos также представили рекомендации по защите от аналогичных атак со стороны нескольких групп вымогателей.
Ресерчеры также предлагает блокировать такие службы, как VNC и RDP, или решения для удаленного доступа, доступные извне. Они должны быть доступны через VPN и только через учетные записи с принудительной многофакторной аутентификацией (MFA) и надежными паролями, если требуется удаленный доступ.
Сети также должны быть сегментированы путем разделения важных серверов на VLAN, а вся сеть должна быть просканирована и проверена на наличие неисправленных и уязвимых устройств.
P.S и что это? :\
