FBI o ransomware Hive
Federalne Biuro Śledcze opublikowało ostrzeżenie, które podaje szczegóły techniczne ataków wykorzystujących ransomware Hive.
To oprogramowanie do wyłudzania okupu po raz pierwszy zaobserwowano w czerwcu 2021 roku. Ataki ransomware Hive wykorzystują różne mechanizmy do włamywania się do sieci biznesowych, w tym wiadomości phishingowe, aby uzyskać początkowy dostęp oraz protokół RDP (Remote Desktop Protocol) do ruchu bocznego. Następnie cyberprzestępcy eksfiltrują interesujące dane, a następnie szyfrują systemy w sieci.
Przeciwnicy zostawiają notatkę z okupem w każdym katalogu, którego dotyczy problem, dostarczając ofiarom informacji o tym, jak zapłacić okup i grożąc upublicznieniem skradzionych danych na stronie HiveLeaks Tor.
Na zaatakowanych maszynach ransomware stara się zatrzymać procesy: tworzenia kopii zapasowych, cyberbezpieczeństwa i kopiowania plików, tak aby zapewnić jak największą skalę zniszczeń. Oprogramowanie umieszcza kilka skryptów w katalogu roboczym, aby wykonać czyszczenie po zakończeniu szyfrowania i usunąć kopie w tle, w tym kopie zapasowe dysków, aby zapobiec odzyskiwaniu plików.
Zaszyfrowane pliki są zwykle dołączane do podwójnego końcowego rozszerzenia *.key.hive lub *.key.*, a ofiary są ostrzegane, że ich dane zostaną utracone, jeśli pliki *key.* zostaną zmodyfikowane, przemianowane lub usunięte.
Ofiary są zazwyczaj kierowane na stronę internetową w sieci Tor i zachęcane do kontaktowania się z atakującymi za pośrednictwem czatu na żywo, ale niektórzy podobno otrzymali telefony od adwersarzy. Ofiary są proszone o zapłacenie okupu w ciągu 2 do 6 dni, ale napastnicy przedłużyli termin, gdy skontaktowali się z ofiarą.
Osoby atakujące informują również ofiary, że dane skradzione z organizacji, które nie chcą zapłacić okupu, zostaną opublikowane na stronie dostępnej za pośrednictwem przeglądarki Tor.
Badacze bezpieczeństwa z Palo Alto Networks uważają, że od czerwca Hive uderzył w co najmniej 28 organizacji, z których wszystkie są wymienione na stronie dedykowanej do wyłudzeń. Należą do nich europejskie linie lotnicze oraz trzy organizacje z siedzibą w Stanach Zjednoczonych.
Jak zwykle FBI odradza ofiarom oprogramowania ransomware płacenie okupu przestępcom, ponieważ może to zachęcić ich do atakowania większej liczby organizacji i nie gwarantuje odzyskania zaatakowanych danych.
Biuro zachęca również ofiary do dzielenia się informacjami związanymi z atakiem, a także do podejmowania wszelkich niezbędnych środków ostrożności w celu zapewnienia bezpieczeństwa danych, w tym tworzenia kopii zapasowych wszystkich plików, korzystania z uwierzytelniania dwuskładnikowego, aktualizowania systemów i aplikacji, używania rozwiązań antymalware na wszystkich punktach końcowych i monitorowanie środowiska pod kątem podejrzanej aktywności.
Wkrótce darmowe “bezpieczeństwo” od Amazona
Amazon ogłosił, że wkrótce zaoferuje bezpłatnie materiały szkoleniowe z zakresu cyberbezpieczeństwa i urządzenia do uwierzytelniania wieloskładnikowego (MFA).
Materiały szkoleniowe, które skupiają się na świadomości bezpieczeństwa, a zwłaszcza na zagrożeniach stwarzanych przez socjotechnikę, będą oferowane bezpłatnie zarówno osobom prywatnym, jak i organizacjom od października. Kursy szkoleniowe obejmą oceny i filmy online, a Amazon twierdzi, że organizacje mogą na ich podstawie tworzyć własne materiały, które lepiej odpowiadają ich potrzebom. Według opublikowanego komunikatu: „Materiały wykorzystują sprawdzone zasady neuronauki i uczenia się dorosłych w celu poprawy retencji treści i są regularnie aktualizowane w miarę rozwoju technik ataków cyfrowych”.
Jeśli chodzi o urządzenia MFA, będą one oferowane za darmo „kwalifikowanym posiadaczom kont AWS”, również od października.
Urządzenia MFA zapewniają najwyższy poziom ochrony kont internetowych, a Amazon twierdzi, że użytkownicy AWS, którzy otrzymają jego urządzenia, będą mogli uwierzytelnić się, wpisując swoje hasło, a następnie dotykając tokena zabezpieczającego podłączonego do portu USB komputera.
„Bezpłatny token MFA dodaje warstwę bezpieczeństwa, aby chronić konta AWS klientów przed phishingiem, przejmowaniem sesji, atakami typu man-in-the-middle i złośliwym oprogramowaniem. Klienci mogą również używać swoich urządzeń MFA, aby bezpiecznie uzyskiwać dostęp do wielu kont AWS, a także innych aplikacji obsługujących tokeny, takich jak GitHub, Gmail i Dropbox” – powiedział Amazon.
Nowa broń w arsenale FIN8
Według badaczy z firmy Bitdefender zajmującej się bezpieczeństwem punktów końcowych, podmiot, określany jako FIN8, dodał do swojego arsenału potężnego nowego backdoora i już używa go w atakach.
Nazywany Sardonic, nowy szkodliwy program składa się z kilku komponentów, w tym samego backdoora, modułu ładującego i kilku skryptów. Wciąż jest w fazie rozwoju, ale już używany w praktyce.
FIN8 jest znany z wykorzystywania taktyk spear-phishingu i socjotechniki w celu początkowego dostępu do sieci ofiary. Następnie przeciwnik wykonuje rekonesans i ruch boczny, uzupełniony eskalacją przywilejów.
Na tych etapach atakujący użyli programu ładującego BADHATCH, a następnie podjęli próbę wdrożenia backdoora Sardonic na kontrolerach domeny w celu dalszego rozprzestrzeniania się w sieci.
Napisane w C++ złośliwe oprogramowanie może gromadzić informacje o systemie, wykonywać dostarczone polecenia, a także ładować spreparowane biblioteki DLL i wykonywać ich funkcje dzięki systemowi wtyczek, który rozszerza jego możliwości.
Podczas analizy Bitdefender zidentyfikował również szereg poleceń, których wykonanie nie zostało zaimplementowane, chociaż parsowanie protokołu binarnego, i to właśnie sugeruje, że projekt jest nadal w fazie rozwoju.
FIN8, jak wskazuje Bitdefender, jest znany z robienia przerw w celu udoskonalenia swojego portfolio i technik, a nowy backdoor pokazuje, że podmiot zajmujący się zagrożeniami nadal wzmacnia swoje możliwości. Dlatego organizacje z sektorów takich jak finanse, hotelarstwo i handel detaliczny, które są preferowanymi celami FIN8, powinny stale skanować swoje środowiska.