Χτυπά στην Ελλάδα πολλές εταιρείες και οργανισμούς!
Δεκάδες οι αναφορές από
εταιρείες
και οργανισμούς στην Ελλάδα οι οποίες δέχτηκαν
hacking επίθεση
και μολύνθηκαν με
Conti Ransomware
!
Το FBI αναφέρει ότι οι hackers πίσω από το
Conti ransomware
επιτέθηκαν σε 16 δίκτυα
υγειονομικής περίθαλψης
και first-responder στις ΗΠΑ. Αυτά τα θύματα συγκαταλέγονται σε περισσότερους από 400 οργανισμούς παγκοσμίως που έχουν πέσει θύματα του Conti – 290 βρίσκονται στις Ηνωμένες Πολιτείες.
Στην Ελλάδα οι Conti
Ransomware
επιθέσεις
έχουν στοιχήσει μέχρι στιγμής, συνολικά, πάνω από 800.000 ευρώ σε
εταιρείες
και οργανισμούς!
Για λόγους
ασφαλείας
δεν θα αναφερθούμε σε λεπτομέρειες σχετικά με τις πληγείσες
επιχειρήσεις
, θέλοντας να προστατεύσουμε την ταυτότητά τους.
Στόχος του άρθρου μας είναι η
ενημέρωση
αναφορικά με το
Conti Ransomware
και την φύση των επιθέσεων σε παγκόσμιο επίπεδο καθώς επίσης και μια τεχνική ανάλυση εντοπισμού του ransomware που ευελπιστούμε να φανεί χρήσιμη στους ειδικούς
ασφαλείας
αλλά και όσους ενδιαφέρονται να λάβουν περισσότερες τεχνικές λεπτομέρειες.
Το παγκόσμιο σύστημα
υγειονομικής περίθαλψης
παρουσίασε αυξημένες
επιθέσεις
από διάφορες συμμορίες ransomware κατά τη διάρκεια της πανδημίας. Η Conti είναι μια από τις δώδεκα συμμορίες ransomware που στοχεύουν
συστήματα
υγειονομικής περίθαλψης
, κυβερνητικούς και ιδιωτικούς οργανισμούς και
υπηρεσίες
first-responder. Οι άλλες συμμορίες είναι οι Maze, Nefilim και Sodinokibi, που φέρεται να έχουν πραγματοποιήσει πολλές επιτυχημένες
επιθέσεις
ransomware σε όλο τον κόσμο.
Οι
επιθέσεις
Conti ransomware
αποδίδονται σε έναν ρωσικό απειλητικό παράγοντα, την ομάδα Wizard Spider, που λειτουργεί με το μοντέλο ransomware-as-a-service (RaaS). Η
παραλλαγή
μοιράζεται τον κώδικα με το Ryuk ransomware.
Μάθετε:
UNC2465: Οι
συνεργάτες
του DarkSide έπληξαν πωλητή καμερών CCTV με
supply chain επίθεση
Οι
επιθέσεις
Conti ransomware
στοχεύουν
υπηρεσίες
επιβολής του νόμου και
συστήματα
υγειονομικής περίθαλψης
Η
ειδοποίηση
του FBI σημείωσε ότι οι
επιθέσεις
Conti ransomware
στοχεύουν τις
υπηρεσίες
επιβολής του νόμου, τις ιατρικές
υπηρεσίες
έκτακτης ανάγκης, τα κέντρα αποστολής 911 και τους δήμους.
Η
συμμορία
Conti ransomware
ήταν υπεύθυνη για τις
επιθέσεις
ransomware που υπέστη το ιρλανδικό σύστημα
υγειονομικής περίθαλψης
το οποίο αναγκάστηκε να διακόψει τις
λειτουργίες
του στα μέσα Μαΐου. Απαίτησαν 20 εκατομμύρια δολάρια σε λύτρα, απειλώντας να δημοσιεύσουν 700 GB δεδομένων εάν δεν λάμβαναν τα λύτρα.
Ο υπουργός Υγείας της Ιρλανδίας Stephen Donnelly είπε ότι το σύστημα
υγειονομικής περίθαλψης
της χώρας δεν πλήρωσε τα λύτρα. Ωστόσο, ο απειλητικός παράγοντας αργότερα παρείχε ένα κλειδί αποκρυπτογράφησης, αλλά εξακολουθούσε να απειλεί να δημοσιεύσει τα
δεδομένα
.
Δείτε επίσης:
Ερευνητές αναλύουν την «
επιχείρηση
» του LockBit ransomware
Στα πρόσφατα θύματα επιθέσεων ransomware στις Ηνωμένες Πολιτείες περιλαμβάνεται το σύστημα
υγειονομικής περίθαλψης
Scripps στο Σαν Ντιέγκο. Επίσης, η Universal Healthcare Services, στις 3 Οκτωβρίου 2020 επιβεβαίωσε ότι δέχτηκε μια
επίθεση ransomware
που εκτελέστηκε από έναν διαφορετικό απειλητικό παράγοντα.
Και το
Πανεπιστήμιο
του Vermont Health Network υπέστη μια
επίθεση ransomware
στις 25 Οκτωβρίου 2020, η οποία του κόστισε περίπου 1,5 εκατομμύρια δολάρια ημερησίως ή συνολικά περίπου 63 εκατομμύρια δολάρια σε έξοδα και απώλεια εσόδων.
Το FBI κυκλοφόρησε τα εργαλεία, τις τεχνικές και τις διαδικασίες μιας τυπικής επίθεσης Conti. Σύμφωνα με την
υπηρεσία
, το
Conti ransomware
χρησιμοποιεί κακόβουλα email links, μολυσμένα συνημμένα ή κλεμμένα remote desktop credentials για να θέσει σε κίνδυνο τα δίκτυα.
“Η Conti οπλίζει τα έγγραφα του Word με ενσωματωμένα Powershell scripts, αρχικά κάνοντας stage το Cobalt Strike μέσω των εγγράφων του Word και στη συνέχεια ρίχνοντας το Emotet στο δίκτυο, δίνοντας στον χάκερ πρόσβαση για την
ανάπτυξη
του ransomware.”
Οι συμμορίες
Conti ransomware
αναπτύσσουν το ransomware χρησιμοποιώντας DLLs και χρησιμοποιούν εργαλεία που είναι ήδη διαθέσιμα στο δίκτυο. Αργότερα κάνουν κλιμάκωση των προνομίων με την χρήση των εργαλείων Windows Sysinternals και Mimikatz.
Δείτε επίσης:
Ransomware ομάδες χρησιμοποιούν
εικονικές μηχανές
για να «καλύψουν» τις
επιθέσεις
τους
«Σε ορισμένες περιπτώσεις όπου απαιτούνται πρόσθετοι πόροι, οι χάκερ χρησιμοποιούν και το Trickbot. Μόλις οι χειριστές του Conti αναπτύξουν το ransomware, ενδέχεται να παραμείνουν στο δίκτυο και να κάνουν «beacon out» με την χρήση του Anchor DNS », αναφέρει το FBI.
Τα hacking tools του Conti επικοινωνούν μέσω θυρών 80, 443, 8080 και 8443. Χρησιμοποιούν επίσης παρόχους υπηρεσιών αποθήκευσης cloud, όπως το MegaNZ, για τη
μεταφορά
μεγάλων όγκων δεδομένων και την αποφυγή του endpoint detection.
Οι απειλητικοί παράγοντες παραμένουν στο δίκτυο αφού κρυπτογραφήσουν τα αρχεία. Η ομάδα πίσω από το
Conti ransomware
κρυπτογραφεί servers και workstations για να υποχρεώσει τα θύματα να πληρώσουν. Μερικές φορές χρησιμοποιούν το
ProtonMail
για να επικοινωνήσουν με τα θύματα.
Το FBI έδωσε κάποιες συμβουλές για να ξεπεραστούν οι
επιθέσεις
Conti ransomware
Το FBI συνέστησε στους στοχευμένους οργανισμούς να δημιουργούν τακτικά
αντίγραφα
ασφαλείας
των δεδομένων τους και να αποθηκεύουν τα αντίγραφα τους offline. Αυτή η στρατηγική τους επιτρέπει να ανακάμψουν γρήγορα μετά από
επιθέσεις
ransomware χωρίς να χάσουν κρίσιμα
δεδομένα
.
Το FBI συνέστησε επίσης την τμηματοποίηση του δικτύου, την εγκατάσταση των security patches, ενημερώσεων και τη χρήση ελέγχου ταυτότητας πολλών παραγόντων και ισχυρών κωδικών πρόσβασης.
Συνέστησε επίσης την
εκπαίδευση
για την ευαισθητοποίηση του προσωπικού σχετικά με την
ασφάλεια
. Επιπλέον, το τακτικό penetration testing για την αποκάλυψη κενών
ασφαλείας
στον κύκλο ζωής
ασφαλείας
είναι κρίσιμο, σύμφωνα με τον Chris Clements της Cerberus Sentinel.
Ακολουθεί τεχνική ανάλυση εντοπισμού του
Conti Ransomware
από την Trend Micro.
Εντοπίζοντας την απειλή
Οι
επιθέσεις
εντοπίστηκαν μέσω του πίνακα Workbench, ο οποίος είναι προσβάσιμος τόσο στα SOC των οργανισμών όσο και στους ερευνητές του MDR. Μπορεί να χρησιμοποιηθεί για να βοηθήσει στην
αντιμετώπιση
των συνεχιζόμενων συμβάντων, καθώς και να προσθέσει πλαίσιο σε τυχόν συνεχιζόμενες έρευνες
ασφαλείας
.
Παρατηρείται ότι το sys64.dll (το Cobalt Strike beacon) διατάσσεται για εκτέλεση σε απομακρυσμένο μηχάνημα σε Workbench alert. Το parent process είναι winlogon., το οποίο χρησιμοποιείται γενικά για το χειρισμό εργασιών που σχετίζονται με τη σύνδεση. Αυτό καθιστά την
κυκλοφορία
του sys64.dll πολύ ύποπτη.
Η δεύτερη
ειδοποίηση
είναι παρόμοια με την πρώτη, αλλά αντί να εκτελεί το sys64.dll, εκτελεί το vd., το οποίο είναι επίσης Cobalt Strike beacon file. Η εντολή εδώ είναι:
Κατά την επιθεώρηση των συμβάντων χρησιμοποιώντας το Search App, βλέπουμε ότι αυτά τα εκτελέσιμα
συστήματα
υπόκεινται σε process injection με το Cobalt Strike beacon code (vd.) όπως υποδεικνύεται εδώ: “701 – TELEMETRY_MODIFIED_PROCESS_CREATE_REMOTETHREAD”.
Οι hackers προσπάθησαν στη συνέχεια να κάνουν dump domain password hashes χρησιμοποιώντας το ntdsutil, αποθηκεύοντας τα αποτελέσματα ως c: windows temp abc για μεταγενέστερη χρήση:
Οι εισβολείς δεν πραγματοποίησαν αμέσως άλλη κακόβουλη δραστηριότητα. Αντ ‘αυτού, αρκετές ώρες αργότερα, άρχισαν να αναπτύσσουν το
Conti ransomware
payload, το οποίο ανίχνευσε αμέσως το Predictive
Machine Learning
της Trend Micro. Το αρχείο xx.dll εντοπίζεται αυτήν τη στιγμή ως Ransom.Win64.CONTI.A.
Αυτό που δεν ήταν αμέσως σαφές ήταν το arrival vector του Cobalt Strike beacon. Το εξετάσαμε βαθύτερα χρησιμοποιώντας τα διαφορετικά
χαρακτηριστικά
του Trend Micro Vision One.
Χρησιμοποιώντας την
εφαρμογή
Observation Attack Techniques (OAT) της Trend Micro Vision One, παρατηρήσαμε ότι αρκετά endpoints άρχισαν να στέλνουν
δεδομένα
μόνο στην Trend Micro Vision One στις 11 και 12 Φεβρουαρίου του τρέχοντος έτους.
Τα σχόλια που παρέχονται από το Smart Protect Network δείχνουν πιθανές Cobalt Strike beacon ανιχνεύσεις στον ίδιο οργανισμό στις 4 Φεβρουαρίου. Αυτή μπορεί να είναι η πρώτη προσπάθεια διείσδυσης στον οργανισμό που δεν είχε αρχική επιτυχία.
Πέρα από αυτήν την πιθανή επίθεση, δεν καταφέραμε να προσδιορίσουμε κάποια συγκεκριμένη μέθοδο που χρησιμοποιήθηκε για την αρχική επίθεση. Ο hakcer μπορεί να έχει ξεκινήσει την επίθεση σε endpoints που δεν ήταν προστατευμένα ή δεν παρακολουθούνταν.
Ανταπόκριση σε Incident Response
Όπως σημειώσαμε νωρίτερα, ο οργανισμός ανταποκρίθηκε στην επίθεση με την παροχή περαιτέρω προστασίας στα endpoints. Ο hacker το γνώριζε φαινομενικά. Σε
απάντηση
, αποφάσισαν να διαγράψουν ευαίσθητες πληροφορίες το συντομότερο δυνατό.
Η
εφαρμογή
OAT έδειξε αρκετά Trend Micro Vision One Filter hits που σχετίζονται με “Rarely Accessed IP Address”. Η επέκταση των λεπτομερειών αποκάλυψε πού αποθηκεύουν τα
κλεμμένα
δεδομένα
.
Το open-source tool “Rclone” χρησιμοποιείται συνήθως για το συγχρονισμό αρχείων με έναν καθορισμένο πάροχο αποθήκευσης cloud. Σε αυτό το περιστατικό, οι εισβολείς χρησιμοποίησαν το
εργαλείο
για να ανεβάσουν αρχεία στο Mega cloud storage.
Πρόσθετες Cobalt/Cobeacon παραλλαγές εμφανίστηκαν λίγες μέρες μετά το περιστατικό ransomware, υποδεικνύοντας ότι οι εισβολείς εξακολουθούν να έχουν πρόσβαση σε μη προστατευμένα endpoints.
Cobalt Strike Lateral Movement Techniques
Το χρονοδιάγραμμα μετά την έρευνα μοιάζει τώρα με αυτό:
Θα περιγράψουμε τώρα εν συντομία πώς το Cobalt Strike μπόρεσε να διαδώσει τον εαυτό του και το
Conti ransomware
σε όλο το δίκτυο.
Με την ικανότητά του να αποκτά πρόσβαση και να κάνει dump credential hashes από το LSASS, είναι σε θέση να ανακτήσει κωδικούς πρόσβασης και να τους χρησιμοποιήσει για περαιτέρω μετακίνηση.
Το Cobalt / Cobeacon χρησιμοποιεί εντολές αντιγραφής cmd. για την
αποστολή
αρχείων σε απομακρυσμένες μονάδες δίσκου. Μπορεί να εκδοθεί απευθείας από το injected process (συμπεριλαμβανομένων των winlogon., wininit. και wusa.) ή να χρησιμοποιήσει ένα batch script ως πρόσθετο επίπεδο.
Τα στοιχεία συνήθως βρίσκονται στις ακόλουθες διαδρομές:
ΝΤΟ:
C: ProgramData
C: Temp
Στο remote endpoint, η διαδικασία δημιουργίας αρχείων θα ξεκινήσει από το ntoskrnl. Αυτή η συμπεριφορά μπορεί να συνδυαστεί με άλλες συμπεριφορές Cobalt / Cobeacon για έλεγχο παραβιάσεων ή απλώς χρησιμοποιείται για την
παρακολούθηση
αρχείων που δημιουργήθηκαν μέσω αυτής της μεθόδου, η οποία επιχειρεί να αποθηκεύσει αρχεία σε ύποπτες διαδρομές.
Το ίδιο ισχύει και όταν στέλνει τα commands για την εκτέλεση αντιγράφων του στα remote endpoints.
Εκτός από τη χρήση προγραμματισμένων εργασιών, χρησιμοποιεί εντολές WMI για την εκτέλεση ενός αντιγράφου DLL ή EΧE του ίδιου.
Πηγή πληροφοριών: www.trendmicro.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.