Skrevet af Danny Palmer, Senior Reporter
Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 1. marts 2022 | Emne: Sikkerhed Hvordan hackere udnytter cyberforsikringer til at tjene flere penge på ransomware-angreb Se nu
En sundhedsudbyder blev offer for to samtidige cyberangreb fra to separate ransomware-bander, der brugte forskellige teknikker til at udnytte uoprettede sikkerhedssårbarheder i Microsoft Exchange Server på samme tid, hvilket endda førte til, at det andet ransomware-angreb krypterede løsesumsedlen efterladt af den første.
Detaljeret af cybersikkerhedsforskere hos Sophos fandt cyberangrebene mod den ikke-oplyste canadiske sundhedsudbyder sted i begyndelsen af december 2021, selvom undersøgelsen af angrebene afslørede, at den første indtrængen i netværket fandt sted måneder forinden i august.
Det er sandsynligt, at dette første kompromis var af en indledende adgangsmægler, en cyberkriminel, der leder efter sårbarheder i netværk, kompromitterer dem og sælger adgang til andre på underjordiske fora.
Mens begge kampagner udnyttede ProxyShell-sårbarheder på Microsofts Exchange-platform (CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207), gik de to ransomware-bander om det på forskellige måder.
Den første ransomware-gruppe, der afslørede deres angreb, identificeret som Karma, fik adgang til netværket den 30. november og oprettede forbindelse til en administratorkonto fra en kompromitteret arbejdsstation via Remote Desktop Protocol (RDP) funktioner. Derefter brugte de penetrationstestværktøjet Cobalt Strike og PowerShell beacons til at hjælpe med at få yderligere adgang til det kompromitterede netværk.
Karma-angriberne fik også adgang til den sårbare server af RDP for at stjæle over 52 GB data, før de droppede en løsesum på over 20 computere den 3. december. De cyberkriminelle bemærkede, at de ikke krypterede maskinerne, fordi offeret var en sundhedsorganisation , men de krævede en løsesum for returnering af de stjålne data.
SE: Cybersikkerhed: Lad os være taktiske (ZDNet-særrapport)
Men mens dette skete, var netværket allerede kompromitteret af et separat og ikke-relateret cyberangreb fra Conti, en af de mest berygtede ransomware-bander, ansvarlig for en række højtprofilerede angreb.
Conti fik faktisk adgang til netværket før Karma, og droppede en ProxyShell-udnyttelse for at få adgang til den samme server den 25. november. Næste trin fulgte den 1. december, da en hacker brugte en hacket lokal administratorkonto til at downloade og installer Cobalt Strike-beacons og eksekver PowerShell til sideværts bevægelse rundt på netværket og indsamling af data.
Conti-angriberne udnyttede også kompromitterede RDP-legitimationsoplysninger i den næste fase af angrebet til at uploade alle de data, der blev stjålet fra serverne. Ligesom Karma udgjorde dette 52 GB filer, som blev uploadet til skylageret.
Det er efter at dataene blev stjålet, at Conti-ransomware-nyttelasten blev droppet fra kompromitterede servere og krypterede sundhedsorganisationens data en anden gang – inklusive de tidligere løsesumsedler efterladt af Karma.
“At blive ramt af et dobbelt ransomware-angreb er et mareridtsscenario for enhver organisation. På tværs af den estimerede tidslinje var der en periode på omkring fire dage, hvor Conti- og Karma-angriberne samtidigt var aktive i målets netværk og bevægede sig rundt om hinanden,” sagde Sean Gallagher, senior trusselsforsker ved Sophos.
Forskere har ikke offentligt beskrevet, hvordan ransomware-angrebene blev løst, men både Karma og Conti udnyttede sårbarheder i Microsoft Exchange, som dukkede op måneder før det indledende netværkskompromis. Hvis organisationen havde været i stand til at anvende de relevante sikkerhedsopdateringer på en mere presserende måde, ville cyberkriminelle ikke have været i stand til at udnytte Microsoft Exchange som angrebsvektor i første omgang.
På trods af netværksovervågning og en vis malwarebeskyttelse på plads, var begge sæt angribere i stand til at operere inde i netværket uden at blive opdaget, en påmindelse om, at informationssikkerhedshold bør være på udkig efter potentielt mistænkelig adfærd for at hjælpe med at forhindre fuldt udbyggede cyberhændelser.
“Dybdeforsvar er afgørende for at identificere og blokere angribere på ethvert trin af angrebskæden, mens proaktiv, menneskestyret trusselsjagt bør undersøge al potentielt mistænkelig adfærd, såsom uventede logins til fjernadgangstjenester eller brugen af legitime værktøjer udenfor det normale mønster, da disse kunne være tidlige advarselstegn på et forestående ransomware-angreb,” sagde Gallagher.
MERE OM CYBERSIKKERHED
Dette store ransomware-angreb blev afværget i sidste øjeblik. Sådan opdagede de detVil du booste din cybersikkerhed? Her er 10 trin til at forbedre dit forsvar nuRansomware-bander ændrer deres taktik. Det kunne vise sig at være meget dyrt for nogle ofreDette firma blev ramt af ransomware, men behøvede ikke at betale. Sådan gjorde de detRansomware: Hvordan NHS lærte lektien af WannaCry for at beskytte hospitaler mod angreb
Security TV | Datastyring | CXO | Datacentre