Изследователи в областта на сигурността предупреждават, че закърпването на критични уязвимости, позволяващи достъп до мрежата, не е достатъчно за защита срещу атаки с рансъмуер.

Някои банди се възползват от недостатъците, за да посяват задна врата, докато съществува прозорец на възможност, и могат да се върнат дълго след като жертвата е приложила необходимите актуализации на сигурността.

Един от случаите е атака на Lorenz ransomware, която е достигнала до завършек месеци след като хакерите са получили достъп до мрежата на жертвата, използвайки експлойт за критичен бъг в система за телефония.

Задна врата, поставена преди актуализация на сигурността

По време на ангажимент за реакция при инцидент с атака с ransomware Lorenz изследователите от глобалната разузнавателна и консултантска компания за киберсигурност S-RM установяват, че хакерите са проникнали в мрежата на жертвата пет месеца преди да започнат да се придвижват странично, да крадат данни и да криптират системи.

S-RM установи, че хакерите са получили първоначален достъп чрез използване на CVE-2022-29499 – критична уязвимост в телефонната инфраструктура на Mitel, която позволява отдалечено изпълнение на код.

Проблемът със сигурността е открит миналата година при разследване от CrowdStrike Services на „предполагаем опит за проникване на ransomware“. По това време доставчикът не е знаел за уязвимостта и все още не е имало поправка.

Изследователите на S-RM са установили, че макар клиентът им да е приложил кръпка за CVE-2022-29499 през юли, хакерите на Lorenz ransomware са действали по-бързо и са използвали уязвимостта, като са поставили задна врата седмица преди актуализацията, която е отстранила проблема.

„Те използваха уязвимости в две PHP страници на Mitel в система CentOS в периметъра на мрежата, което им позволи да изтеглят уеб обвивка от собствената си инфраструктура и да я инсталират в системата“ – S-RM

Въпреки че в системата не са останали уязвими страници, криминалистичният анализ разкрива, че те са били последно достъпни, когато уеб обвивката на заплахата е била създадена на машината на жертвата.

Хакерите са се опитали да скрият задната врата, като са я нарекли „twitter_icon_<ransom string>“ и са я поставили в директория с легитимно местоположение в системата.

Уеб обвивката представлява един ред PHP код, който слуша за HTTP POST заявки с два параметъра: „id“, който заедно със случайния низ служи като идентификационни данни за достъп до системата, и „img“, който включва командите, които трябва да бъдат изпълнени.
В продължение на пет месеца уеб черупката е останала неактивна в мрежата на жертвата. Когато хакерите били готови да продължат с атаката, те използвали задната врата и за 48 часа разгърнали Lorenz ransomware.

Проверете за проникване, преди да приложите поправка на критична грешка

Изследователите от S-RM казват, че дългото време на неактивност може да подсказва, че групата  е закупила достъпа си до мрежата на жертвата от брокер.

Друга теория е, че бандата Lorenz е достатъчно организирана, за да има специален клон, който получава първоначалния достъп и го защитава от евентуално превземане от други нарушители.

Изследователите от S-RM Тим Гешвиндт и Айлса Ууд казват, че бандитите обикновено се възползват изцяло от нова уязвимост и се опитват да намерят и компрометират колкото се може повече непоправени системи в интернет, само за да се върнат по-късно, за да продължат атаката.

Те „преценяват, че Lorenz активно се връща към стари задни врати, проверява дали все още има достъп до тях и ги използва, за да извършва атаки с цел получаване на откуп“.

Поради тази причина двамата изследователи отбелязват, че актуализирането на софтуера до най-новата версия в подходящия момент все още е важна стъпка в защитата на мрежата, но в случай на критични уязвимости компаниите трябва също така да проверяват средата си за опити за експлоатиране и възможни прониквания.

Прегледът на дневниците, търсенето на неоторизиран достъп или поведение и проверката на данните от мониторинга на мрежата за неочакван трафик може да разкрие проникване, което би оцеляло след актуализация на сигурността.

 

Източник: По материали от Интернет

Подобни публикации

18 април 2025

Глобална компания за събития стана жертва на се...

Legends International, водещ доставчик на услуги за спортни, развле...
17 април 2025

Китайска APT група използва усъвършенстван бекд...

Нови версии на бекдора BrickStorm, използван при компрометирането н...
17 април 2025

Крис Кребс напуска SentinelOne заради войната с...

Бившият директор на Агенцията за киберсигурност и инфраструктурна с...
17 април 2025

Apple пусна спешни ъпдейти за iOS и macOS

На 17 април (сряда) Apple публикува извънредни ъпдейти за операцион...
17 април 2025

Starlink превзе интернет пазара в Нигерия, но н...

В началото на 2023 г. Нигерия стана първата африканска държава, в к...
16 април 2025

CISA гарантира непрекъсната работа на програмат...

Американската Агенция за киберсигурност и сигурност на инфраструкту...
16 април 2025

Програмата CVE може да остане без финансиране

На 16 април 2025 г. изтича финансирането от страна на федералното п...
16 април 2025

Рязък скок в компрометирането на лични данни: 1...

Според последни данни от Identity Theft Resource Center (ITRC), бро...
Бъдете социални
Още по темата
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
15/04/2025

Критични уязвимости в Gladi...

Изследователи по киберсигурност от Huntress съобщават...
15/04/2025

Кибератаки: 56% от случаите...

В нов доклад на Sophos, фирма...
Последно добавени
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
17/04/2025

Крис Кребс напуска Sentinel...

Бившият директор на Агенцията за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!