Lorenz ransomware готви атаките месеци предварително

Изследователи в областта на сигурността предупреждават, че закърпването на критични уязвимости, позволяващи достъп до мрежата, не е достатъчно за защита срещу атаки с рансъмуер.

Някои банди се възползват от недостатъците, за да посяват задна врата, докато съществува прозорец на възможност, и могат да се върнат дълго след като жертвата е приложила необходимите актуализации на сигурността.

Един от случаите е атака на Lorenz ransomware, която е достигнала до завършек месеци след като хакерите са получили достъп до мрежата на жертвата, използвайки експлойт за критичен бъг в система за телефония.

Задна врата, поставена преди актуализация на сигурността

По време на ангажимент за реакция при инцидент с атака с ransomware Lorenz изследователите от глобалната разузнавателна и консултантска компания за киберсигурност S-RM установяват, че хакерите са проникнали в мрежата на жертвата пет месеца преди да започнат да се придвижват странично, да крадат данни и да криптират системи.

S-RM установи, че хакерите са получили първоначален достъп чрез използване на CVE-2022-29499 – критична уязвимост в телефонната инфраструктура на Mitel, която позволява отдалечено изпълнение на код.

Проблемът със сигурността е открит миналата година при разследване от CrowdStrike Services на „предполагаем опит за проникване на ransomware“. По това време доставчикът не е знаел за уязвимостта и все още не е имало поправка.

Изследователите на S-RM са установили, че макар клиентът им да е приложил кръпка за CVE-2022-29499 през юли, хакерите на Lorenz ransomware са действали по-бързо и са използвали уязвимостта, като са поставили задна врата седмица преди актуализацията, която е отстранила проблема.

„Те използваха уязвимости в две PHP страници на Mitel в система CentOS в периметъра на мрежата, което им позволи да изтеглят уеб обвивка от собствената си инфраструктура и да я инсталират в системата“ – S-RM

Въпреки че в системата не са останали уязвими страници, криминалистичният анализ разкрива, че те са били последно достъпни, когато уеб обвивката на заплахата е била създадена на машината на жертвата.

Хакерите са се опитали да скрият задната врата, като са я нарекли „twitter_icon_<ransom string>“ и са я поставили в директория с легитимно местоположение в системата.

Уеб обвивката представлява един ред PHP код, който слуша за HTTP POST заявки с два параметъра: „id“, който заедно със случайния низ служи като идентификационни данни за достъп до системата, и „img“, който включва командите, които трябва да бъдат изпълнени.
В продължение на пет месеца уеб черупката е останала неактивна в мрежата на жертвата. Когато хакерите били готови да продължат с атаката, те използвали задната врата и за 48 часа разгърнали Lorenz ransomware.

Проверете за проникване, преди да приложите поправка на критична грешка

Изследователите от S-RM казват, че дългото време на неактивност може да подсказва, че групата  е закупила достъпа си до мрежата на жертвата от брокер.

Друга теория е, че бандата Lorenz е достатъчно организирана, за да има специален клон, който получава първоначалния достъп и го защитава от евентуално превземане от други нарушители.

Изследователите от S-RM Тим Гешвиндт и Айлса Ууд казват, че бандитите обикновено се възползват изцяло от нова уязвимост и се опитват да намерят и компрометират колкото се може повече непоправени системи в интернет, само за да се върнат по-късно, за да продължат атаката.

Те „преценяват, че Lorenz активно се връща към стари задни врати, проверява дали все още има достъп до тях и ги използва, за да извършва атаки с цел получаване на откуп“.

Поради тази причина двамата изследователи отбелязват, че актуализирането на софтуера до най-новата версия в подходящия момент все още е важна стъпка в защитата на мрежата, но в случай на критични уязвимости компаниите трябва също така да проверяват средата си за опити за експлоатиране и възможни прониквания.

Прегледът на дневниците, търсенето на неоторизиран достъп или поведение и проверката на данните от мониторинга на мрежата за неочакван трафик може да разкрие проникване, което би оцеляло след актуализация на сигурността.

 

Източник: По материали от Интернет

Подобни публикации

30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
28 май 2023

Computex 2023: всичко, което трябва да знаете з...

Computex 2023 се провежда от 29 май до 2 юни Изложението Computex 2...

С летния сезон фишинг и BEC кампаниите на тема ...

Фишинг кампаниите, насочени към пътуващи, се превърнаха от прости и...
27 май 2023

DarkFrost унищожава гейминг индустрията

Наблюдава се нов ботнет, наречен Dark Frost, който извършва разпред...
Бъдете социални
Още по темата
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
25/05/2023

Компрометират устройствата ...

Компанията за решения за имейл и...
Последно добавени
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
30/05/2023

Нов хакерски форум пусна да...

База данни за известния хакерски форум...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!