Gdy firma pada atakiem ransomware, wiele ofiar uważa, że atakujący szybko wdrażają szkodliwe oprogramowanie i znikają, aby nie dać się złapać. Niestety rzeczywistość jest zupełnie inna, ponieważ hakerzy dokonujący ataków wcale nie kwapią się, aby zrezygnować łupu (jakim są zasoby informatyczne), nad którym tak ciężko pracowali.
Tymczasem, ataki ransomware są przeprowadzane w dłuższym okresie czasu, trwającym od jednego dnia do nawet miesiąca, poczynając od momentu włamania do sieci ofiary.
Naruszenie to odbywa się poprzez niezabezpieczone dostatecznie usługi zdalnego pulpitu, luki w oprogramowaniu VPN lub poprzez zdalny dostęp zapewniany przez złośliwe oprogramowanie, takie jak TrickBot, Dridex i QakBot. Po uzyskaniu dostępu cyberprzestępcy używają narzędzi, takich jak Mimikatz, PowerShell Empire, PSExec i innych, do zbierania danych logowania i rozprzestrzeniania się poprzez całą sieć.
Po uzyskaniu dostępu do komputerów w sieci, używają owych poświadczeń do kradzieży niezaszyfrowanych plików z urządzeń kopii zapasowych i serwerów jeszcze przed przeprowadzeniem decydującego ataku ransomware.
Wiele ofiar sądzi jednak, że po wdrożeniu oprogramowania ransomware, hakerzy znikają z systemu.
To przekonanie jest dalekie od prawdy, co ilustruje niedawny atak operatorów Maze Ransomware.
Maze kontynuował kradzież plików po ataku ransomware
Ostatnio operatorzy Maze Ransomware ujawnili na swojej stronie wycieku danych, że włamali się do sieci spółki zależnej ST Engineering o nazwie VT San Antonio Aerospace (VT SAA).
Przerażające w tym wycieku jest to, że Maze ujawnił dokument zawierający raport działu IT ofiary na temat ataku ransomware.
Fakt te pokazał dobitnie, że Maze wciąż czaił się w ich sieci i kontynuował śledzenie i kradzież plików z firmy, w czasie, gdy trwało dochodzenie w sprawie ataku.
Ta kontynuacja dostępu nie jest rzadkością w przypadku tego typu ataków.
John Fokker, główny inżynier i szef Cyber Investigations w firmie McAfee, stwierdził na łamach BleepingComputer, że w przypadku niektórych ataków hakerzy czytali e-maile firmy, która padła ofiarą ich działań, nawet gdy trwały negocjacje dotyczące okupu.
„Znamy przypadki, w których cyberprzestępcy pozostawali w sieci ofiary po tym, jak wdrożyli swoje oprogramowanie ransomware. W takich przypadkach napastnicy zaszyfrowali kopie zapasowe ofiary po pierwszym ataku lub podczas negocjacji, co jasno wskazywało, że atakujący nadal miał dostęp i czytał e-mail ofiary ”.
Co radzą eksperci?
Po wykryciu ataku ransomware pierwszym krokiem, jaki powinna zrobić firma, jest zamknięcie sieci i działających w niej komputerów. Działania te uniemożliwiają dalsze szyfrowanie danych i uniemożliwiają atakującym dostęp do systemu.
Po wykonaniu tej czynności należy wezwać firmę zewnętrzną zajmującą się bezpieczeństwem cybernetycznym w celu przeprowadzenia pełnego dochodzenia w sprawie ataku i audytu wszystkich urządzeń wewnętrznych i publicznych.
Audyt obejmuje analizę urządzeń firmowych pod kątem trwałych infekcji, luk w zabezpieczeniach, słabych haseł i złośliwych narzędzi pozostawionych przez operatorów ransomware.
W wielu przypadkach zastosowane środki zaradcze i dochodzenie są objęte ubezpieczeniem cybernetycznym ofiary.
Fokker i Vitali Kremez, prezes Advanced Intel, również przedstawili dodatkowe porady i strategie, które należy zastosować, aby odpowiednio zminimalizować zagrożenie w obliczu ataku.
„Poważniejsze korporacyjne ataki ransomware prawie zawsze wiążą się z całkowitym przejęciem sieci ofiary, od serwerów zapasowych po kontrolery domeny. Mając pełną kontrolę nad siecią, podmioty ransomware mogą łatwo wyłączyć zabezpieczenia i wdrożyć oprogramowanie ransomware”.
„W obliczu tak daleko posuniętego naruszenia integralności i bezpieczeństwa danych, zespoły reagowania na tego typu incydenty, muszą założyć, że osoba atakująca nadal pozostaje w sieci, dopóki nie uzyskają niezbitej pewności, że jest inaczej. Oznacza to przede wszystkim wybranie innego kanału komunikacji (niewidocznego dla cyberprzestepcy), który posłuży do omawiania bieżących wysiłków mających zażegnać kryzys. ”
„Istotne będzie zwrócenie uwagi, czy hakerzy już przeszukiwali Active Directory ofiary, zatem w celu usunięcia wszelkich pozostałych kont backdoorów należy przeprowadzić pełny przegląd AD” – wyjaśnia Fokker dla BleepingComputer.
Kremez zasugerował również oddzielny bezpieczny kanał komunikacyjny, a także wydzielony kanał przechowywania, który można wykorzystać do przechowywania danych związanych z dochodzeniem.
„Należy traktować ataki ransomware jako incydenty z naruszeniem danych z mocną hipotezą, że osoby atakujące mogą nadal znajdować się w sieci. Dlatego ofiary powinny pracować oddolnie, próbując uzyskać dowody, które potwierdzają lub unieważniają hipotezę. Często obejmuje to pełną analizę infrastruktury sieciowej ze szczególnym uwzględnieniem kont uprzywilejowanych. Upewnij się, że masz plan ciągłości działania, pozwalający na oddzielny bezpieczny kanał komunikacji i przechowywania (oddzielna infrastruktura) podczas przeprowadzania oceny śledczej ”- powiedział Kremez.
Kremez zauważył, że sugerowane jest ponowne odtworzenie obrazu urządzeń w zaatakowanej sieci, ale może nie wystarczyć, ponieważ osoby atakujące prawdopodobnie mają pełny dostęp do poświadczeń sieciowych, które można wykorzystać do kolejnego ataku.
„Ofiary powinny potencjalnie przeinstalować komputery i serwery. Należy jednak pamiętać, że przestępca mógł już ukraść dane uwierzytelniające. Zwykła ponowna instalacja może nie wystarczyć. Musieliby również zmienić hasła domeny, ponieważ przestępcy mogliby wrócić wykorzystując takie poświadczeń – kontynuował Kremez.
Ostatecznie, ważne jest, aby działać przy założeniu, że nawet po ataku napastnicy prawdopodobnie nadal będą obserwować ruchy ofiary.
Takie szpiegostwo może nie tylko utrudniać czyszczenie sieci, w której doszło do naruszenia, ale może również wpływać na taktykę negocjacyjną, ponieważ napastnicy czytają wiadomość e-mail ofiary i w ten sposób są zawsze o krok do przodu.
źródło: BleepingComputer