Изследователи в областта на сигурността предупреждават, че закърпването на критични уязвимости, позволяващи достъп до мрежата, не е достатъчно за защита срещу атаки с рансъмуер.
Някои банди се възползват от недостатъците, за да посяват задна врата, докато съществува прозорец на възможност, и могат да се върнат дълго след като жертвата е приложила необходимите актуализации на сигурността.
Един от случаите е атака на Lorenz ransomware, която е достигнала до завършек месеци след като хакерите са получили достъп до мрежата на жертвата, използвайки експлойт за критичен бъг в система за телефония.
По време на ангажимент за реакция при инцидент с атака с ransomware Lorenz изследователите от глобалната разузнавателна и консултантска компания за киберсигурност S-RM установяват, че хакерите са проникнали в мрежата на жертвата пет месеца преди да започнат да се придвижват странично, да крадат данни и да криптират системи.
S-RM установи, че хакерите са получили първоначален достъп чрез използване на CVE-2022-29499 – критична уязвимост в телефонната инфраструктура на Mitel, която позволява отдалечено изпълнение на код.
Проблемът със сигурността е открит миналата година при разследване от CrowdStrike Services на „предполагаем опит за проникване на ransomware“. По това време доставчикът не е знаел за уязвимостта и все още не е имало поправка.
Изследователите на S-RM са установили, че макар клиентът им да е приложил кръпка за CVE-2022-29499 през юли, хакерите на Lorenz ransomware са действали по-бързо и са използвали уязвимостта, като са поставили задна врата седмица преди актуализацията, която е отстранила проблема.
„Те използваха уязвимости в две PHP страници на Mitel в система CentOS в периметъра на мрежата, което им позволи да изтеглят уеб обвивка от собствената си инфраструктура и да я инсталират в системата“ – S-RM
Въпреки че в системата не са останали уязвими страници, криминалистичният анализ разкрива, че те са били последно достъпни, когато уеб обвивката на заплахата е била създадена на машината на жертвата.
Хакерите са се опитали да скрият задната врата, като са я нарекли „twitter_icon_<ransom string>“ и са я поставили в директория с легитимно местоположение в системата.
Уеб обвивката представлява един ред PHP код, който слуша за HTTP POST заявки с два параметъра: „id“, който заедно със случайния низ служи като идентификационни данни за достъп до системата, и „img“, който включва командите, които трябва да бъдат изпълнени.
В продължение на пет месеца уеб черупката е останала неактивна в мрежата на жертвата. Когато хакерите били готови да продължат с атаката, те използвали задната врата и за 48 часа разгърнали Lorenz ransomware.
Изследователите от S-RM казват, че дългото време на неактивност може да подсказва, че групата е закупила достъпа си до мрежата на жертвата от брокер.
Друга теория е, че бандата Lorenz е достатъчно организирана, за да има специален клон, който получава първоначалния достъп и го защитава от евентуално превземане от други нарушители.
Изследователите от S-RM Тим Гешвиндт и Айлса Ууд казват, че бандитите обикновено се възползват изцяло от нова уязвимост и се опитват да намерят и компрометират колкото се може повече непоправени системи в интернет, само за да се върнат по-късно, за да продължат атаката.
Те „преценяват, че Lorenz активно се връща към стари задни врати, проверява дали все още има достъп до тях и ги използва, за да извършва атаки с цел получаване на откуп“.
Поради тази причина двамата изследователи отбелязват, че актуализирането на софтуера до най-новата версия в подходящия момент все още е важна стъпка в защитата на мрежата, но в случай на критични уязвимости компаниите трябва също така да проверяват средата си за опити за експлоатиране и възможни прониквания.
Прегледът на дневниците, търсенето на неоторизиран достъп или поведение и проверката на данните от мониторинга на мрежата за неочакван трафик може да разкрие проникване, което би оцеляло след актуализация на сигурността.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.