Lorenz ransomware готви атаките месеци предварително

Изследователи в областта на сигурността предупреждават, че закърпването на критични уязвимости, позволяващи достъп до мрежата, не е достатъчно за защита срещу атаки с рансъмуер.

Някои банди се възползват от недостатъците, за да посяват задна врата, докато съществува прозорец на възможност, и могат да се върнат дълго след като жертвата е приложила необходимите актуализации на сигурността.

Един от случаите е атака на Lorenz ransomware, която е достигнала до завършек месеци след като хакерите са получили достъп до мрежата на жертвата, използвайки експлойт за критичен бъг в система за телефония.

Задна врата, поставена преди актуализация на сигурността

По време на ангажимент за реакция при инцидент с атака с ransomware Lorenz изследователите от глобалната разузнавателна и консултантска компания за киберсигурност S-RM установяват, че хакерите са проникнали в мрежата на жертвата пет месеца преди да започнат да се придвижват странично, да крадат данни и да криптират системи.

S-RM установи, че хакерите са получили първоначален достъп чрез използване на CVE-2022-29499 – критична уязвимост в телефонната инфраструктура на Mitel, която позволява отдалечено изпълнение на код.

Проблемът със сигурността е открит миналата година при разследване от CrowdStrike Services на „предполагаем опит за проникване на ransomware“. По това време доставчикът не е знаел за уязвимостта и все още не е имало поправка.

Изследователите на S-RM са установили, че макар клиентът им да е приложил кръпка за CVE-2022-29499 през юли, хакерите на Lorenz ransomware са действали по-бързо и са използвали уязвимостта, като са поставили задна врата седмица преди актуализацията, която е отстранила проблема.

„Те използваха уязвимости в две PHP страници на Mitel в система CentOS в периметъра на мрежата, което им позволи да изтеглят уеб обвивка от собствената си инфраструктура и да я инсталират в системата“ – S-RM

Въпреки че в системата не са останали уязвими страници, криминалистичният анализ разкрива, че те са били последно достъпни, когато уеб обвивката на заплахата е била създадена на машината на жертвата.

Хакерите са се опитали да скрият задната врата, като са я нарекли „twitter_icon_<ransom string>“ и са я поставили в директория с легитимно местоположение в системата.

Уеб обвивката представлява един ред PHP код, който слуша за HTTP POST заявки с два параметъра: „id“, който заедно със случайния низ служи като идентификационни данни за достъп до системата, и „img“, който включва командите, които трябва да бъдат изпълнени.
В продължение на пет месеца уеб черупката е останала неактивна в мрежата на жертвата. Когато хакерите били готови да продължат с атаката, те използвали задната врата и за 48 часа разгърнали Lorenz ransomware.

Проверете за проникване, преди да приложите поправка на критична грешка

Изследователите от S-RM казват, че дългото време на неактивност може да подсказва, че групата  е закупила достъпа си до мрежата на жертвата от брокер.

Друга теория е, че бандата Lorenz е достатъчно организирана, за да има специален клон, който получава първоначалния достъп и го защитава от евентуално превземане от други нарушители.

Изследователите от S-RM Тим Гешвиндт и Айлса Ууд казват, че бандитите обикновено се възползват изцяло от нова уязвимост и се опитват да намерят и компрометират колкото се може повече непоправени системи в интернет, само за да се върнат по-късно, за да продължат атаката.

Те „преценяват, че Lorenz активно се връща към стари задни врати, проверява дали все още има достъп до тях и ги използва, за да извършва атаки с цел получаване на откуп“.

Поради тази причина двамата изследователи отбелязват, че актуализирането на софтуера до най-новата версия в подходящия момент все още е важна стъпка в защитата на мрежата, но в случай на критични уязвимости компаниите трябва също така да проверяват средата си за опити за експлоатиране и възможни прониквания.

Прегледът на дневниците, търсенето на неоторизиран достъп или поведение и проверката на данните от мониторинга на мрежата за неочакван трафик може да разкрие проникване, което би оцеляло след актуализация на сигурността.

 

Източник: По материали от Интернет

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
Бъдете социални
Още по темата
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!