Търсене
Close this search box.

Изнудвачите от Akira вече са способни да изтеглят данни от жертвите за малко повече от два часа, което е значителна промяна в средното време, необходимо на киберпрестъпниците да преминат от първоначален достъп до ексфилтриране на информация.

Това съобщават от екипа за изследване и разузнаване на заплахите на BlackBerry, който  публикува разбивка на атаката с рансъмуер Akira от юни срещу латиноамериканска авиокомпания. Според анатомията на атаката, направена от BlackBerry,  заплахата, използвайки протокола Secure Shell (SSH), е получилa първоначален достъп чрез неактуализиран сървър за архивиране Veeam и веднага е започналa да извлича информация, преди да разположи рансъмуера Akira на следващия ден.

Според доклада вероятният извършител е Storm-1567 (известен още като Punk Spider и Gold Sahara), плодовит потребител на платформата Akira ransomware-as-a-service (RaaS) и групата, която поддържа сайта за изтичане на информация за Akira. Бандата е известна с това, че използва тактики за двойно изнудване, и е атакувала повече от 250 организации в множество индустриални вертикали в световен мащаб, откакто се е появила от сенките през март 2023 г. Тя поставя сайтовете си главно на системи с Windows, но е разработила и варианти за Linux/VMware ESXi и постоянно показва високо ниво на техническо майсторство.

Бързото протичане на атака с рансъмуер

При атаката на авиокомпанията от Латинска Америка, след като Storm-1567 получи достъп до сървъра за архивиране на Veeam (вероятно чрез CVE-2023-27532), почти веднага започна процеса на извличане на данни, тъй като първоначалната точка на влизане беше сочна и  пълна с потенциално чувствителни данни; групата не трябваше да се движи странично, за да намери това, което търсеше.

„Сървърите на Veeam са изключително популярни мишени поради склонността им да съхраняват пълномощни [и други данни]“, казва Исмаел Валенсуела, вицепрезидент на отдел „Изследване и разузнаване на заплахи“ в BlackBerry. „Предишни инциденти, като тези, свързани с FIN7, подчертават тяхната привлекателност за киберпрестъпниците. Според самата компания Veeam 93% от кибератаките са насочени към хранилища за резервни копия, което подчертава тяхната уязвимост.“

По време на тази конкретна атака бандата е получила достъп до данните от резервното копие в папката за резервно копие на Veeam, включително документи, изображения и електронни таблици, като се е обзаложила, че трофеят ще съдържа поверителна и ценна информация, която може да бъде задържана за откуп, според BlackBerry.

По време на кражбата Storm-1567 е злоупотребила с редица легитимни инструменти и помощни програми, „живеейки не на място“, за да извърши тайно разузнаване, да установи устойчивост и да изнесе данните от средата.

 

„Веднъж попаднал в мрежата, извършителят на заплахата е създал потребител на име „backup“ и се е добавил в групата на администраторите, за да се закрепи в средата“, се казва в доклада. „След това атакуващият инсталира легитимния инструмент за управление на мрежата Advanced IP Scanner, преди да сканира локалните подмрежи, открити чрез „route print“. Накрая данните бяха ексфилтрирани чрез WinSCP – безплатен файлов мениджър за Windows.“

Цялата операция е отнела само 133 минути, след което нападателите са свалили инструментите за деня (интересно е, че точно в 16:55 ч. по Гринуич/Великобритания, което предполага, че групата може да е базирана в Западна Европа, отбелязват от BlackBerry). Но те се върнаха на следващия ден (в разумния начален час 20:40 GMT/UTC), за да навлязат по-дълбоко в мрежата и да внедрят действителния ransomware.

„Атакуващият извърши проверки на потребителите на няколко машини, преди да влезе в основния сървър за архивиране на Veeam“, се казва в доклада. „Netscan е бил изтеглен … с помощта на Google Chrome, а за декомпресирането му е бил използван WinRAR. Машините, свързани с Active Directory, бяха идентифицирани и добавени във файл, наречен „AdComputers.csv“.

Междувременно Storm-1567 деактивирал антивирусната (AV) защита на хоста на виртуалната машина (VM), използвал легитимния софтуер за отдалечен работен плот AnyDesk, за да се свърже с други системи в мрежата, използвал различни непоправени грешки в цялата среда, унищожил всички намерени резервни копия, които биха улеснили възстановяването, откраднал допълнителни части от данни (като RAR файл от главния уеб сървър) и накрая изтеглил рансъмуера Akira на машината Veeam.

„Сега, когато устойчивостта беше  налице, хакеритеа се опитаха да разгърнат ransomware в цялата мрежа, използвайки сървъра за архивиране на Veeam като контролна точка“, според BlackBerry. „Видяхме, че файлът ‘w.exe’ – Akira ransomware – се разгръща в различни хостове от компрометирания сървър на Veeam.“

Времето за ексфилтрация продължава да се скъсява

Внедряването на ransomware не е отнело много време (по-малко от осем часа, след като нападателите са започнали своя ден), но изключително бързото усилие за ексфилтриране на данни трябва да бъде още по-силен сигнал за организациите, тъй като подчертава това, което е постоянно свиване на хоризонта на събитията, свързани с времето за ексфилтриране.

Според доклада 2024 Unit 42 Incident Response на Palo Alto Networks средното време, необходимо за преминаване от компрометиране до ексфилтриране на данни, е било девет дни през 2021 г.; през миналата година то е спаднало до два дни, а през тази година в почти половината (45%) от случаите е било малко под 24 часа.

Тази линия на тенденцията, разбира се, е обезпокоителна; за киберзащитниците реагирането на компрометиране и осуетяването на кражба на данни за по-малко от 24 часа е предизвикателство в най-добрите времена – да го направят за два часа и да се променят може да е невъзможно. И в крайна сметка организациите скоро може изобщо да не разполагат с лукса на времето; хранилищата ще бъдат изпразнени още преди да се задействат алармите.

Най-добрата и може би единствена стратегия тогава, според Валанцуела, е да се подсилят защитите.

„От решаващо значение е прилагането на стабилна архитектура за сигурност, включваща рамка за нулево доверие, която започва с разбиране на потенциалните противници“, казва той. „Фундаментални практики, като например щателно пакетиране на периметъра, са от съществено значение, като се признава неговата уязвимост като основна цел за нападателите.“

Неизпълнението на това изискване вероятно е допринесло за бързата ексфилтрация на данни, на която е била подложена авиокомпанията: „Този инцидент подчертава, че векторът на атаката не включва непременно експлойт от нулев ден“, добавя Валанцуела.

Други основни хигиенни стъпки също ще стават все по-важни с оглед на това колко бързо започват да действат крадците на данни. Например „служебните данни [на авиокомпанията] са били ексфилтрирани през ефимерен порт, което показва, че прилагането на основни ограничения на достъпа до портове би могло да увеличи трудността на подобни опити за ексфилтрация“, посочи Валанцуела.

 

Източник: DARKReading

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!