Раскрыты подробности тройной атаки на автомобильного поставщика

В течение 2 недель в мае системы поставщика автомобилей были взломаны, а файлы зашифрованы тремя различными бандами вымогателей, причем две атаки произошли всего за два часа. Ранее Sophos опубликовала отчет об этой кампании , но после глубокого анализа описала подробности атаки.

Согласно новому отчету Sophos , атаки начались со взлома систем брокером начального доступа (Initial Access Broker, IAB) в декабре 2021 года. IAB использовал неправильную конфигурацию брандмауэра для взлома сервера контроллера домена с использованием подключения по протоколу удаленного рабочего стола (RDP). Согласно отчету Sophos X-Ops, это первый инцидент, когда 3 отдельных группы вымогателей использовали одну и ту же точку входа для атаки на одну организацию.

После первоначальной компрометации группировки LockBit, Hive и ALPHV/BlackCat также получили доступ к сети жертвы 20 апреля, 1 мая и 15 мая соответственно. 1 мая полезные нагрузки LockBit и Hive были распространены по сети в течение 2 часов с помощью легитимных инструментов PsExec и PDQ Deploy для шифрования более 10 систем во время каждой атаки. Более того, LockBit также украл данные и эксфильтровал их в облачное хранилище Mega.

Поскольку атака Hive началась через 2 часа после атаки Lockbit, программа-вымогатель Lockbit все еще работала, поэтому обе группы продолжали находить файлы без расширения, означающего, что они были зашифрованы.

Спустя 2 недели, 15 мая, когда IT-специалисты автомобильного поставщика все еще восстанавливали системы, группировка BlackCat подключилась к тому же серверу управления, скомпрометированный бандами LockBit и Hive. После установки программы для удаленного доступа Atera Agent BlackCat получили постоянство в сети и извлекли украденные данные.

В течение 30 минут BlackCat доставила в сеть свою полезную нагрузку, используя PsExec для шифрования 6 машин после бокового перемещения по сети с использованием скомпрометированных учетных данных.

Хронология атаки

Удалив теневые копии и очистив журналы событий Windows на скомпрометированных системах, BlackCat также усложнила восстановление систем для специалистов Sophos. BlackCat стерла следы компрометации, которые Sophos могла использовать для отслеживания деятельности трех групп в сети жертвы.

Специалисты Sophos, помогавшие жертве в расследовании атаки, обнаружили файлы, трижды зашифрованные с помощью программ-вымогателей Lockbit, Hive и BlackCat, а также 3 разных заметки о выкупе в зашифрованных системах. По словам Sophos, некоторые файлы были зашифрованы даже 5 раз.

Файл зашифрован 5 раз: по 2 раза LockBit и Hive, и 1 раз BlackCat

Sophos также опубликовала технический документ с рекомендациями по защите от аналогичных атак нескольких групп вымогателей. Организациям рекомендуется поддерживать свои системы в актуальном состоянии и исследовать свои среды на наличие бэкдоров или уязвимостей, созданных злоумышленниками для восстановления доступа к сети в случае их обнаружения.

Sophos также рекомендует блокировать службы удаленного доступа VNC и RDP. Эти сервисы должны быть доступны через VPN и через учетные записи с многофакторной аутентификацией и надежными паролями. Сети также должны быть сегментированы путем разделения важных серверов на VLAN, а вся сеть должна быть просканирована и проверена на наличие неисправленных и уязвимых устройств.