Ερευνητές ασφαλείας αναλύουν την “ανατομία” μιας ransomware επίθεσης!

04/07/2020 16:34

Ερευνητές από την εταιρεία τεχνολογίας ασφάλειας “Sentinel One” ανέλυσαν την “ανατομία” μιας ransomware επίθεσης, δείχνοντας πώς χάκερς εισέβαλαν σε ένα δίκτυο και ανέπτυξαν ransomware, μέσα σε μόλις δύο εβδομάδες. Συγκεκριμένα, οι ερευνητές ασφαλείας εξέτασαν έναν server που χρησιμοποιήθηκε από χάκερς τον Οκτώβριο του 2019, για την μετατροπή μιας σχετικά “μικρής” παραβίασης ασφάλειας σε ένα εταιρικό δίκτυο, σε μια καταστροφική επίθεση με την χρήση του Ryuk ransomware. Αυτά τα δεδομένα μπορεί να είναι πολύ σημαντικά για την κατανόηση των τακτικών και των τεχνικών που χρησιμοποιούν οι χάκερς στις επιθέσεις τους.


Αρχικά, οι ερευνητές ασφαλείας διαπίστωσαν πως το δίκτυο είχε μολυνθεί από το Trickbot malware. Μόλις το δίκτυο παραβιάστηκε από το Trickbot malware, οι χάκερς άρχισαν να ψάχνουν πάνω σε τί είχαν καταφέρει να αποκτήσουν πρόσβαση, ενώ παράλληλα αναζητούσαν τρόπους να κερδίσουν χρήματα από αυτό τους το επίτευγμα.

Ένας από τους ερευνητές ασφαλείας της Sentinel One, ο Joshua Platt, δήλωσε στο ZDNet πως μετά από λίγη ώρα, οι χάκερς άρχισαν να “σκανάρουν” το δίκτυο, προσπαθώντας να το χαρτογραφήσουν και να καταλάβουν περί τίνος πρόκειται. Ο τελικός στόχος της αποστολής τους ήταν να βγάλουν χρήματα από το δίκτυο και τα δεδομένα του. Με άλλα λόγια, μόλις συνειδητοποίησαν ότι μπορούσαν να βγάλουν χρήματα από την παραβίαση, επεδίωκαν επίμονα το παράνομο κέρδος.

Επιπλέον, στην περίπτωση που εξέτασαν οι ερευνητές, οι χάκερς αποφάσισαν να εκμεταλλευτούν την παραβίαση του δικτύου, χρησιμοποίησαν εργαλεία όπως το PowerTrick και το Cobalt Strike για να ασφαλίσουν την παραμονή τους στο δίκτυο και προχώρησαν σε περαιτέρω εξερεύνηση, αναζητώντας ανοιχτές θύρες και άλλες συσκευές στις οποίες θα μπορούσαν να αποκτήσουν πρόσβαση. Στη συνέχεια, προχώρησαν στη φάση του ransomware της επίθεσης. Από την αρχική μόλυνση που πραγματοποίησε το TrickBot μέχρι την έναρξη της επίθεσης του Ryuk malware, χρειάστηκαν περίπου δύο εβδομάδες, ανέφερε η Sentinel One, με βάση τα χρονικά στοιχεία που συγκέντρωσε.


Το Ryuk malware εμφανίστηκε για πρώτη φορά τον Αύγουστο του 2018 και ήταν υπεύθυνο για πολυάριθμες επιθέσεις που έλαβαν χώρα σε παγκόσμια κλίμακα, σύμφωνα με την συμβουλευτική που εξέδωσε πέρυσι το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο του Ηνωμένου Βασιλείου.

Όσον αφορά τα λύτρα που ζητούνται για το ransomware, αυτά ορίζονται με βάση την ικανότητα που θεωρούν οι χάκερς ότι έχει να πληρώσει το θύμα, ενώ μπορεί να χρειαστούν μέρες ή και μήνες από την αρχική μόλυνση έως την ενεργοποίηση του ransomware, δεδομένου ότι οι χάκερς χρειάζονται χρόνο για να προσδιορίσουν τα πιο κρίσιμα συστήματα δικτύου. Ωστόσο, η NCSC ανέφερε ότι αυτή η καθυστέρηση δίνει στους στόχους μία ευκαιρία να σταματήσουν την ενεργοποίηση του ransomware, εάν μπορέσουν να εντοπίσουν αυτήν την πρώτη μόλυνση.

Διαβάστε όλο το άρθρο στο https://www.secnews.gr/249615/ereynites-asfaleias-analyoun-tin-anatomia-mias-ransomware-epithesis/?fbclid=IwAR0Lc9MT39Dcs80VpgIuhkCrl-jnToct0FKOKkowWQlETt9VJl_M6ZH0qww