Microsoft ostrzega przed atakami Ransomware

Irańska grupa zajmująca się cyberprzestępczością Phosphorus prowadzi kampanię oprogramowania ransomware w celu osiągnięcia osobistych korzyści – ujawnili wczoraj badacze z centrum analizy zagrożeń (MSTIC) Microsoftu.

Eksperci ds. bezpieczeństwa uważają, że podgrupa nazwana Nemesis Kitten i śledzona jako DEV-0270 prowadzi kilka złośliwych operacji, w tym szeroko zakrojone skanowanie podatności, w imieniu rządu irańskiego.

Podejrzewają również, że ze względu na charakter ataków, z których większość „nie miała strategicznej wartości dla reżimu”, nowo obserwowana kampania może nie być koordynowana przez rząd i zamiast tego jest prowadzona dla osobistych korzyści członków gangu.

Sposób przeprowadzania ataku

Przestępcy próbowali uzyskać dostęp przez różne znane luki w zabezpieczeniach, takie jak Exchange, Fortinet i Log4j 2. Po naruszeniu docelowego urządzenia lub sieci atakujący dokonywali wykrywania środowiska i kradzieży poświadczeń, uzyskiwali trwałość, eskalowali uprawnienia i wdrażali techniki wymijające aby uniknąć wykrycia.

„Grupa zagrożeń często używa natywnych poleceń WMI, sieci, CMD i PowerShell oraz konfiguracji rejestru w celu utrzymania ukrycia i bezpieczeństwa operacyjnego”, zgodnie z doradztwem bezpieczeństwa MSTIC. „Instalują również i maskują swoje niestandardowe pliki binarne jako legalne procesy, aby ukryć swoją obecność. Niektóre z legalnych procesów, które maskują swoje narzędzia, obejmują: dllhost.exe, task_update.exe, user.exe i CacheTask.”

Eksperci ds. bezpieczeństwa zauważyli, że ataki DEV-0270 często włączają szyfrowanie funkcją BitLocker za pomocą poleceń setup.bat, czyniąc urządzenie hosta bezużytecznym. Grupa hakerów wdraża DiskCryptor, narzędzie szyfrujące typu open source, na zhakowanych urządzeniach z systemem Windows za pośrednictwem protokołu RDP. Po uruchomieniu narzędzie zaczyna szyfrować cały dysk urządzenia i blokuje ofiarę ze stacji roboczej.

Wskazówki ekspertów

W biuletynie zabezpieczeń firma MSTIC zamieściła szereg wskazówek dotyczących łagodzenia skutków, które mają odstraszyć techniki specyficzne dla DEV-0270:

• Nadaj priorytet łataniu serwerów Exchange z dostępem do Internetu
• Zastosuj aktualizacje i poprawki zabezpieczeń, gdy tylko staną się dostępne
• Użyj zapory, aby uniemożliwić komunikację RPC i SMB
• Egzekwuj silne zasady haseł administratora
• Upewnij się, że Twoje oprogramowanie antywirusowe jest aktualne
• Twórz kopie zapasowe danych, aby zapobiec uszkodzeniom spowodowanym destrukcyjnymi atakami

Najlepszy sposób ochrony przed hakerami

Bitdefender Total Security

Przeczytaj inne wpisy