Эксперты рассказали, как им удалось в последнюю минуту предотвратить атаку вымогателей

[Artifact]

Специалисты рассказали, что им удалось обнаружить во время расследования попытки атаки вымогательского ПО.

Киберпреступная группировка установила ПО для удаленного управления компьютером на 130 машин в корпоративной сети одной из компаний, готовясь зашифровать хранящиеся в ней данные, но в последний момент их план был сорван, поскольку ИБ-эксперты обнаружили подозрительное ПО и уведомили об этом компанию.
Усилия киберпреступников, приведшие в результате к установке ПО для удаленного управления на более сотни компьютеров, были выявлены ИБ-компанией Sophos. Эксперты инициировали расследование сразу после того, как обнаружили в сети ПО Cobalt Strike – легитимный инструмент для тестирования на проникновение, набирающий все большую популярность у операторов вымогательского ПО.
Конечной целью киберпреступников являлось шифрование как можно большей части сети с помощью вымогательского ПО REvil, однако осуществить задуманное они не успели. Правда, хакерам все-таки удалось зашифровать несколько незащищенных устройств и удалить хранящиеся online резервные копии, когда обнаружили, что их «застукали на горячем».
Согласно уведомлению с требованием выкупа на одном из компьютеров, которые REvil успел зашифровать, за ключ для расшифровки жертва должна была заплатить $2,5 млн. Однако выкуп не был заплачен.
Как бы то ни было, атакующим удалось получить достаточно контроля над сетью для установки ПО на более ста компьютеров, да так, чтобы никто в компании этого не заметил.
По словам главы команды реагирования на инциденты Sophos Пола Джейкобса (Paul Jacobs), присутствие на устройствах сотрудников ПО для удаленного доступа в условиях пандемии не является чем-то необычным.
«Обнаружив Screen Connect на 130 компьютерах, мы решили, что оно было установлено специально для поддержки удаленных сотрудников. Однако оказалось, что компания ничего не знала о нем, и установили его злоумышленники для обеспечения себе доступа к сети и скомпрометированных устройствам», - пояснил Джейкобс.
Для получения первоначального доступа к сети хакеры использовали несколько методов, но чаще всего они обращались к фишинговым атакам на сотрудников компании. Кроме того, были обнаружены признаки эксплуатации уязвимостей в межсетевых экранах и VPN, а также следы брутфорс-атак на доступные через интернет RDP.
Менеджер команды Sophos Rapid Response Питер Маккензи (Peter Mackenzie) дал несколько рекомендаций по обеспечению защиты от атак вымогательского ПО.
«Во-первых, убедитесь, что на каждом отдельно взятом компьютере в вашей сети установлены решения безопасности, и все они управляются централизовано. Злоумышленники любят незащищенные машины. Далее, убедитесь, что они регулярно получают патчи, и помните, что, если компьютер не перезагружался год, то на нем и нет никаких патчей», - сообщил Маккензи.