16 דקות בום: בזמן שהכנתם קפה, השתלטו לכם על הרשת הארגונית 

כמה זמן לוקח להאקר לנצל חולשה בפיירוול על מנת לקבל גישה להרשאות מנהל דומיין? לקבוצת Conti זה לוקח 16 דקות. בזמן שהכנתם קפה, השתלטו לכם על הרשת הארגונית 

16 דקות בום: בזמן שהכנתם קפה, השתלטו לכם על הרשת הארגונית 

bigstock

סופוס פרסמה סדרת תחקירים מקיפה אודות תוכנת הכופר Conti המפרטת כיצד התקפה של Conti מתפתחת לאורך חמישה ימים, את המאפיינים הטכניים שלה ואת התנהגות התוקפים, וכן עצות למנהלי IT, חוקרי אבטחה ומקצועני אבטחה.

Conti היא תוכנת כופר ב"סחיטה כפולה" המופעלת על ידי גורם אנושי. התוקפים גונבים נתונים מיעדיהם לפני שהם מצפינים אותם, ואז מאיימים לחשוף את המידע הגנוב באתר "Conti News" אם הארגון לא משלם את הכופר. נכון להיום, מפרסם האתר נתונים שנגנבו מלפחות 180 קורבנות. סופוס יצרה פרופיל של הנפגעים על פי המידע שפורסם באתר.

המחקר הראשון "A Coni Ransomware Attack Day-by-Day", מציג את רצף הזמן של מתקפת Conti פעילה, מהפריצה הראשונית ועד החזרה לעבודה של ארגון המטרה, לצד פעילות צוות התגובה Sophos Rapid Respons שניטרל, הכיל וחקר את ההתקפה. הדוח כולל גם סממני תקיפה (IoC), טקטיקות, טכניקות ותהליכים (TTP) אשר מסייעים למגינים לאתר התקפות Conti עתידיות ולהתגונן מפניהן.

בצד הטכני, מציגים חוקרי SophosLabs בדוח "Conti Ransomware: Evasive by Nature" כיצד התוקפים מסוגלים לחסום ניתוח של תוכנת הכופר באמצעות פריסת אותות של Cobalt Strike, תוכנת המשמשת לבחינת הגנות בארגון, על גבי המכונות המותקפות. לאחר מכן הם טוענים את הקוד ישירות אל תוך הזיכרון, כך שהם אינם משאירים ממצאים שהחוקרים יכולים לבחון. 

"זו הייתה התקפה מהירה ובעלת פוטנציאל הרסני מאוד", אמר פיטר מקינזי, מנהל צוות Rapid Response בסופוס. "גילינו כי התוקפים הצליחו לפרוץ לרשת המטרה ולקבל גישה להרשאות מנהל דומיין תוך 16 דקות מרגע ניצול פירצה בפיירוול. תוך שעות, התוקפים הצליחו להפעיל את אותות Cobalt Strike על השרתים שהפכו לשדרה המרכזית למתקפת הכופר".

"בהתקפות הנשלטות על ידי אנשים, התוקפים יכולים לבצע התאמות ולהגיב למצבים משתנים בזמן אמת. במקרה הזה, התוקפים השיגו במקביל גישה לשני שרתים, כך שכאשר המותקפים זיהו ונטרלו את אחד מהם – הם האמינו שהם הצליחו לעצור את ההתקפה בזמן – אף התוקפים פשוט החליפו שרת והמשיכו את ההתקפה באמצעות השרת החלופי. יצירת תוכנית ב' היא גישה נפוצה בהתקפות בהפעלה אנושית. זו תזכורת לכך שרק בגלל שפעילות חשודה מסויימת ברשת נעצרה, אין להסיק מכך שההתקפה באמת הסתיימה".

"לאחר חילוץ הנתונים, התוקפים הפעילו Cobalt Strike בכמעט 300 מכשירים והפעילו את תוכנת הכופר. הצד המותקף  נותר ללא אפשרויות, אלא לכבות תשתית חיונית ולעצור את הפעילות השוטפת. לאחר מכן הצד המותקף  יצר קשר עם סופוס, שהצליחו לנטרל ולהכיל את ההתקפה תוך 45 דקות. בתוך יום אחד הארגון המותקף  הצליח לאחזר מחשבים שנפגעו ולחזור לפעילות מלאה", אמר מקינזי.

הדוח השלישי "What to Expect When You’ve Been Hit with Conti Ransomware" מספק הנחיות למנהלי IT המתמודדים עם הפגיעות של מתקפת Conti. הדוח מפרט איך לפעול באופן מיידי, ולאחר מכן מספק צ'ק ליסט של 12 נקודות שיסייעו למנהלי IT לחקור את ההתקפה. הרשימה מסכמת את הפעולות שתוקפי Conti עלולים לבצע במהלך שהותם ברשת, וכן את ה- TTP המרכזיים בהם הם צפויים להשתמש. כמו כן, כוללת הרשימה המלצות מעשיות.

"יש חברות שאין להן גישה לצוות אבטחת IT ייעודי, ולעיתים קרובות זהו מנהל ה-IT שנמצא בקו ההתקפה הראשון של תוכנת הכופר", אמר מקינזי. "הם אלה שמגיעים לעבודה בוקר אחד כדי לגלות שהכל נעול ומוצאים את מכתב דרישת הכופר על המסך. לעיתים דרישות אלו מלוות בהודעות דואר אלקטרוני מאיימות או בשיחות. בהתבסס על תהליך ציד האיומים שביצענו, פיתחנו רשימת פעולות שיסייעו למנהלי IT לחצות את השעות הראשונות המאתגרות והמלחיצות, ולאחר מכן את הימים שלאחר המתקפה – היכן הם יכולים לקבל עזרה ולהניח יסודות לעתיד מאובטח יותר".

אולי יעניין אותך גם

By Spc. Micah E. Clare, U.S. Army - This image was released by the United States Army with the ID 070930-A-2013C-254 (next). Public Domain, https://commons.wikimedia.org/w/index.php?curid=4556991

דיווח: רק"מי M1117 ראשונים הגיעו לאוקראינה מארה"ב

רק"מים אלו הינם חלק מחבילת הסיוע הצבאי האמריקאית בשווי של 400 מיליון דולרים שהוכרז עליה בחודש נובמבר 2022