Търсене
Close this search box.

Изследователи в областта на сигурността предупреждават, че закърпването на критични уязвимости, позволяващи достъп до мрежата, не е достатъчно за защита срещу атаки с рансъмуер.

Някои банди се възползват от недостатъците, за да посяват задна врата, докато съществува прозорец на възможност, и могат да се върнат дълго след като жертвата е приложила необходимите актуализации на сигурността.

Един от случаите е атака на Lorenz ransomware, която е достигнала до завършек месеци след като хакерите са получили достъп до мрежата на жертвата, използвайки експлойт за критичен бъг в система за телефония.

Задна врата, поставена преди актуализация на сигурността

По време на ангажимент за реакция при инцидент с атака с ransomware Lorenz изследователите от глобалната разузнавателна и консултантска компания за киберсигурност S-RM установяват, че хакерите са проникнали в мрежата на жертвата пет месеца преди да започнат да се придвижват странично, да крадат данни и да криптират системи.

S-RM установи, че хакерите са получили първоначален достъп чрез използване на CVE-2022-29499 – критична уязвимост в телефонната инфраструктура на Mitel, която позволява отдалечено изпълнение на код.

Проблемът със сигурността е открит миналата година при разследване от CrowdStrike Services на „предполагаем опит за проникване на ransomware“. По това време доставчикът не е знаел за уязвимостта и все още не е имало поправка.

Изследователите на S-RM са установили, че макар клиентът им да е приложил кръпка за CVE-2022-29499 през юли, хакерите на Lorenz ransomware са действали по-бързо и са използвали уязвимостта, като са поставили задна врата седмица преди актуализацията, която е отстранила проблема.

„Те използваха уязвимости в две PHP страници на Mitel в система CentOS в периметъра на мрежата, което им позволи да изтеглят уеб обвивка от собствената си инфраструктура и да я инсталират в системата“ – S-RM

Въпреки че в системата не са останали уязвими страници, криминалистичният анализ разкрива, че те са били последно достъпни, когато уеб обвивката на заплахата е била създадена на машината на жертвата.

Хакерите са се опитали да скрият задната врата, като са я нарекли „twitter_icon_<ransom string>“ и са я поставили в директория с легитимно местоположение в системата.

Уеб обвивката представлява един ред PHP код, който слуша за HTTP POST заявки с два параметъра: „id“, който заедно със случайния низ служи като идентификационни данни за достъп до системата, и „img“, който включва командите, които трябва да бъдат изпълнени.
В продължение на пет месеца уеб черупката е останала неактивна в мрежата на жертвата. Когато хакерите били готови да продължат с атаката, те използвали задната врата и за 48 часа разгърнали Lorenz ransomware.

Проверете за проникване, преди да приложите поправка на критична грешка

Изследователите от S-RM казват, че дългото време на неактивност може да подсказва, че групата  е закупила достъпа си до мрежата на жертвата от брокер.

Друга теория е, че бандата Lorenz е достатъчно организирана, за да има специален клон, който получава първоначалния достъп и го защитава от евентуално превземане от други нарушители.

Изследователите от S-RM Тим Гешвиндт и Айлса Ууд казват, че бандитите обикновено се възползват изцяло от нова уязвимост и се опитват да намерят и компрометират колкото се може повече непоправени системи в интернет, само за да се върнат по-късно, за да продължат атаката.

Те „преценяват, че Lorenz активно се връща към стари задни врати, проверява дали все още има достъп до тях и ги използва, за да извършва атаки с цел получаване на откуп“.

Поради тази причина двамата изследователи отбелязват, че актуализирането на софтуера до най-новата версия в подходящия момент все още е важна стъпка в защитата на мрежата, но в случай на критични уязвимости компаниите трябва също така да проверяват средата си за опити за експлоатиране и възможни прониквания.

Прегледът на дневниците, търсенето на неоторизиран достъп или поведение и проверката на данните от мониторинга на мрежата за неочакван трафик може да разкрие проникване, което би оцеляло след актуализация на сигурността.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!