Fenyeget a BlackCat zsarolóvírus

Az újgenerációs kiberbiztonság terén globális vezető Sophos a “BlackCat Ransomware Attacks Are Not Merely a Byproduct of Bad Luck”, azaz “A BlackCat zsarolóvírus támadások nem csupán a balszerencse melléktermékei” című cikkben ismertette, hogy a ransomware-csoport felvette támadófegyverei arzenáljába a Brute Ratel nevű penetration testing eszközt. A cikk ransomware-támadások sorozatát részletezi, amelyek során a BlackCat javítatlan vagy elavult tűzfalakat, valamint VPN szolgáltatásokat használt arra, hogy sebezhető hálózatokba és rendszerekben hatoljon be világszerte, különböző iparágakban.

A BlackCat ransomware először 2021. novemberében jelent meg a ransomware-as-a-service, azaz “ransomware, mint szolgáltatás” üzletág legújabb “vezetőjeként” és gyorsan felkeltette a figyelmet a szokatlan kódnyelvével, a Rusttal.

A célba vett szervezetek már 2021. decemberében a Sophos Rapid Response segítségét kérték, hogy az vizsgáljon ki legalább 5 támadást, amelyhez a BlackCatnek köze volt. Ezek közül 4 incidens során a kezdeti fertőzés különböző tűzfalgyártók termékei sebezhetőségeinek kihasználásával történt. Az egyik ilyen sebezhetőség 2018-ból származott, egy másik tavaly jelent meg. Miután a támadók a hálózaton belül voltak, meg tudták szerezni az ezeken a tűzfalakon tárolt VPN hitelesítő adatokat, hogy hozzáféréssel rendelkező felhasználóként jelentkezzenek be, majd távoli asztal protokoll (RDP, “remote desktop protocol”) használatával laterálisan mozogjanak a rendszerek között.

Ahogy a korábbi BlackCat incidensek során megfigyelhető volt, a támadók nyílt forráskódú és kereskedelmi forgalomban kapható eszközöket is felhasználtak, hogy további hátsó ajtókat és alternatív útvonalakat hozzanak létre a célba vett rendszerekhez való távoli hozzáféréshez. Ezek közé tartoztak:

• TeamViewer,
• nGrok,
• Cobalt Strike,
• Brute Ratel.

“Amit mostanában látunk a BlackCat és más támadások kapcsán, az az, hogy az elkövetők nagyon hatékonyan és eredményesen végzik a munkájukat. Bevált és biztos módszereket használnak, mint a sebezhető tűzfalak és VPN-ek támadása, mert tudják, hogy ezek még mindig működnek. De innovációt is mutatnak a biztonsági rendszerek kikerülése érdekében, mint például az újabb Brute Ratel C2 post-exploitation keretrendszerre való váltással a támadásaik során,”

– mondta Christopher Budd, a Sophos fenyegetéskutató részlegének senior menedzsere.

A támadásoknak nem volt egyértelmű mintázata; az Egyesült Államokban, Európában és Ázsiában fordultak elő nagyvállalatoknál, amelyek különböző iparági szegmensekben működnek. A célba vett vállalatok azonban osztoztak bizonyos környezeti sebezhetőségeken, amelyek egyszerűbbé tették a támadók dolgát, beleértve:

• elavult rendszerek, amelyek már nem voltak frissíthetőek a legújabb biztonsági javításokkal,
• a többlépcsős hitelesítés hiánya a VPN-ekhez,
• lapos hálózati struktúra (ahol minden gép minden további gépet lát a hálózaton).

“A közös nevező ezekben a támadások az, hogy könnyű volt őket végrehajtani. Egy esetben ugyanezek a BlackCat támadók egy hónappal a ransomware elindítása előtt kriptobányász eszközöket telepítettek. Ez a legújabb kutatás kiemeli azt, hogy milyen fontos a bevált biztonsági gyakorlatok követése; még mindig ütőképesek a támadások megelőzése és meghiúsítása terén, beleértve azt a helyzetet, amikor több támadás ér egyetlen hálózatot.“

A Sophos szakértői összeállítottak egy nGrok incidenskezelő útmutatót, amely segít a biztonsági csapatoknak megakadályozni azt, hogy a támadók visszaéljenek a hálózatukon lévő nGrok eszközt.