BlackSuit fidye yazılımı çetesi, bir yıl boyunca 53 kuruluşa yönelik saldırılardan çalınan verileri sızdırdı.
ReliaQuest’ten araştırmacılar, fidye yazılımı grubunun Nisan ayında gerçekleştirdiği bir saldırıyı derinlemesine analiz etti. Mayıs 2023’ten beri aktif. Royal fidye yazılımı çetesinden oluştuğuna inanılan grup, öncelikle eğitim ve endüstriyel ürünler gibi kritik sektörlerdeki ABD merkezli şirketleri hedef alıyor. Hedefleri dikkatli seçmek Dün yayınlanan bir blog gönderisine göre finansal kazancı en üst düzeye çıkarmak için.
Reliaquest Tehdit Araştırma Ekibi’ne göre, “Bu hedefleme modeli, siber güvenlik bütçeleri daha küçük olan veya kesinti süresine karşı düşük toleransa sahip olan kritik sektörlere odaklanan bir finansal motivasyona güçlü bir şekilde işaret ediyor, bu da başarılı bir saldırı veya hızlı bir fidye ödemesi olasılığını artırıyor.” postalamak.
BlackSuit, yalnızca bir yıldır var olan bir grubun alışılmadık olgunluğunu yansıtan çifte gasp yöntemini ve diğer taktikleri, teknikleri ve prosedürleri (TTP’ler) kullanıyor. Bu onun kökenini yansıtıyor Kraliyet’tebu da zorlu üyelerden oluşuyordu ve artık geçersiz Conti fidye yazılımı çetesi.
Ekip, “Grubun geçmişi, çeşitli kötü amaçlı yazılım dağıtım yöntemleri ve gelişmiş şifreleme ve sistem kurtarma süreçleri, BlackSuit operatörlerinin muhtemelen deneyimli ve teknik açıdan yetkin olduğunu gösteriyor” diye yazdı.
ReliaQuest tarafından araştırılan saldırı, BlackSuit’in aşağıdakileri içeren bir dizi “basit TTP” kullandığını gösteriyor: Kerbero kızartma ve faydalanma Yanal hareket için PsExecsızma, kaba zorlama ve fidye yazılımının sanal bir makineden nihai dağıtımı için FTP.
Derinlemesine Saldırı Dizisi
Nisan ayında gözlemlenen BlackSuit saldırısı, bir tehdit aktörünün muhtemelen kaba kuvvetle uygulanan veya parola dökümü yoluyla erişilen kimlik bilgilerini kullanarak geçerli bir hesap aracılığıyla müşterinin ortamına VPN erişimi sağlamasıyla başladı. Ekip, VPN’nin ilk erişim için kolay bir hedef olduğunu çünkü “bir felaket kurtarma sitesinde birincil olmayan bir VPN ağ geçidi olduğunu ve çok faktörlü kimlik doğrulama veya sertifika gereksinimlerini zorunlu kılacak şekilde yapılandırılmadığını” belirtti.
Sonraki hafta saldırgan, öncelikle müşteri ortamında zaten kullanımda olan bir uzaktan yönetim aracı olan PsExec’i kullanarak çeşitli Windows iş istasyonlarında yanal olarak hareket etti.
Eylemde üç günlük bir duraklamanın ardından (muhtemelen saldırının daha sonra BlackSuit’e veya bağlı kuruluşlarından birinin ortama erişimini satan bir ilk erişim komisyoncusu tarafından gerçekleştirilmesi nedeniyle), saldırganın bir Windows sunucusunda kimlik doğrulaması yapıp ardından indirme yapmasıyla saldırı yeniden başladı. için bir araç seti olan Rubeus’un yüklenmesine izin veren özel bir yük Kerberos’un kötüye kullanılmasıPowerShell’e.
Daha sonra 20’den fazla kullanıcının güvenliğini tehlikeye attı Kerbero kızartma – A sömürü sonrası saldırı Güvenlik firması Qomplx’e göre, hizmet hesabı kimlik bilgileri karmalarını çevrimdışı kırma için Active Directory’den ve ayrıca AS-REP kavurma aracılığıyla ek bir hesaptan çıkarıyor.
Saldırgan, önümüzdeki altı saat içinde 100 gigabayttan fazla veri göndermek için harici bir IP adresine FTP bağlantıları başlatmak için izlenmeyen bir Windows sunucusu kullandı, ardından muhtemelen “uç nokta güvenlik araçlarından fidye yazılımı dağıtımını gizlemek için” kullanılacak kötü amaçlı bir Windows VM kurdu. ” Reliaquest araştırmacılarına göre.
Ekip, “Tehdit aktörü, bir ağ paylaşımında barındırılan fidye yazılımı yükünü Sunucu İleti Bloğu (SMB) aracılığıyla yüzlerce ana bilgisayara kopyalamak için VM’sindeki PsExec’i kullandı” diye yazdı. “Bunu takiben, fidye yazılımı yükünü bir kitaplık olarak yüklemek için WMIC kullanıldı ve böylece şifreleyici çalıştırıldı.”
Saldırı tespit edildikten sonra, etkilenen kuruluş, şifreleri etki alanı genelinde dağıtmak ve etkiyi sınırlamak için tehlikeye atılan siteyi diğer küresel konumlardan izole etmek için hemen harekete geçti. Reliaquest’e göre sonuçta, uç nokta güvenlik çözümlerini kullanarak karma yasaklama ve ana bilgisayar izolasyonu yoluyla iyileştirmeye odaklandı.
Gönderiye göre müşteri, potansiyel veri sızıntısını tespit etmek ve dijital varlıklarını izlemek için çalıştı ve ayrıca kötü amaçlı yazılımları, şüpheli DNS isteklerini ve yanal hareket faaliyetlerini tespit etme kuralları da dahil olmak üzere kuruluşun savunma duruşunu güçlendirmek için “çeşitli tespit kuralları” uyguladı. .
Çeşitli Fidye Yazılımı Saldırı Aşamalarını Azaltma
ReliaQuest, kuruluşların gözlemlediği saldırı adımlarının her biri için uygulayabileceği çeşitli hafifletme taktiklerini ortaya çıkardı. Örneğin, başlangıçtan kaçınmak için VPN’nin yanlış yapılandırılması İlk erişime izin veren ekip, kuruluşların cihazları tek tek yönetmek yerine ağ cihazı yapılandırmalarını dağıtmak için merkezi değişiklik yönetimi ve sürüm kontrolünü kullanmasını önerdi.
Gönderiye göre bu, “yanlış yapılandırmaları azaltacak ve otomatik bir envanter haritalama çözümüyle eşleştirildiğinde, gizli yanlış yapılandırılmış veya eski cihazların bulunmadığından emin olmaya yardımcı olacak”.
Kuruluşlar ayrıca Windows olay günlüklerini izleyerek ve sağlam bir uç nokta algılama ve yanıt (EDR) aracı dağıtarak yanal hareketleri daha iyi izleyebilir; ancak bunların hiçbiri müşterinin yapmadığı bir şeydir.
“Birçok kuruluş, mevcut sistemdeki alım kısıtlamaları nedeniyle Windows günlüklerini iş istasyonlarından iletmemeyi seçiyor SIEM lisanslarıEkip, “Kuruluşların bu kararı verirken risklerin farkında olması ve mümkünse telafi etmesi önemlidir.”
Kerberoasting’in tamamen hafifletilmesi zor olsa da, “çünkü herkes herhangi bir hizmet asıl adının (SPN) çevrimdışı kırılması için bir bilet verme hizmeti (TGS) bileti talep edebilir”, araştırmacılar kuruluşların “yükü düşman ve bunu çekici olmayan bir seçenek haline getiriyor.”
ReliaQuest ekibi, bunlardan birinin, şifreleri güçlendirmek için zayıf şifreleme türlerini isteme yeteneğini devre dışı bırakmak olduğunu, “bunun genellikle geriye dönük olarak şifre karmaşıklığını zorlamaktan daha basit olduğunu” öne sürdü.