A kiberbűnözőknek nem volt nyári vakációjuk. Augusztusban hacker csoportok több szervezet ellen indítottak támadásokat. A Conti üzemeltetői proaktívabbak voltak a Nokia egyesült államokbeli leányvállalata, a SAC Wireless rendszereinek feltörésében. Az ellopott információkat fel tudták tölteni a felhőszerverükre, és titkosították a fájlokat a feltört rendszerekben. Az FBI több mint 400 kibertámadáshoz kötötte Contit.

Az FBI több mint 400 kibertámadáshoz kötötte Contit olyan szervezetek ellen, amelyek akár 25 millió dolláros váltságdíjat is követeltek.

Conti a ransomware műveletet, mint ransomware szolgáltatás (RaaS) végzi. A központi csapat kezeli a Conti rosszindulatú programokat és a TOR webhelyeket, a Conti leányvállalatai pedig feltörik a hálózatokat és titkosítják az eszközöket. A nyereség 30% -a központi csapatra, 70%-a a leányvállalatra oszlik. Amikor a Conti nem hajtja végre az üzlet részét, elégedetlen a leányvállalat is. A szivárgás magában foglalta a Conti IP-címeket a Cobalt Strike C2 szerverekhez és egy 113 MB archívumot, amely hackelési eszközöket, orosz nyelven írt kézikönyveket tartalmazott (a Kobalt Strike használatához, mimikatz az NTLM visszaállításához, valamint különböző parancsokkal rendelkező szöveges fájlokat), képzési anyagokat és referenciadokumentumokat a leányvállalatok számára a Conti ransomware támadások végrehajtásához.

PROXYSHELL BIZTONSÁGI RÉSEI

Augusztusban egyre több kibertámadás érte az Active Directoryt. Például a LockFile kiberbűnözők az Exchange Server ProxyShell és a PetitPotam biztonsági réseinek kihasználásával fértek hozzá az Active Directoryhoz a rosszindulatú programok alaphelyzetbe állításához.

• Először is, a támadók feltörték az Exchange-kiszolgálókat a ProxyShell támadási vektorával.
• Ezután telepítettek egy eszközkészletet, köztük egy exploitot aCVE-2021-36942-hez (más néven PetitPotam, egy NTLM relé támadási hiba, amelyet egy alacsony kiváltságú támadó használhat egy tartományvezérlő eltérítésére).
• Ezenkívül telepítették active_desktop_launcher.exe-t; a rosszindulatú fájl active_desktop_render.dll letöltéséhez.
• A fájl letöltése és visszafejtése után egy rendszerhéjkódot (shell code) futtattak le a fájlból az efspotato.file.exe aktiválásához; a PetitPotam használatához.
• Miután a támadók hozzáfértek a helyi tartományvezérlőhöz, többek között a LockFileransomware-t, valamint a kötegelt és kiegészítő segédfájlokat fájlokat másoltak a tartományvezérlőhöz.

BIZTONSÁGI RÉSEK ÚJ FORMÁTUMBAN

A ransomware területén a HiveNightmare támadások számának növekedését tapasztaltuk. A HiveNightmare, más esetben a CVE-2021-36934 egy NTFS-központú hozzáférés-vezérlési lista (ACL) hibája, amely érinti a Windows 10 felépítését, a 1809-21H1 rendszert, és lehetővé teszi a jogosulatlan felhasználók számára tetszőleges kód futtatását, nyilvántartott érzékeny adatok olvasását és a rendszeríró adatbázisból származó adatokat (beleértve a jelszavak lekérését), amelyek felhasználhatók a jogosultságok további növelésére.

A „REVIL” RANSOMWARE BANDA ELTŰNÉSE

És szeretnénk befejezni ezt a havi szemlét egy pozitív megjegyzéssel. Ez év júniusában a REvil ransomware fejlesztők egy bandája hatalmas támadást hajtott végre 60 menedzselt szolgáltató és 1500 vállalkozás ellen világszerte, ami a történelem egyik legnagyobb ransomware támadása volt. A hozzáféréshez a csoportok nulladik napi biztonsági rést használtak a Kaseya VSA távfelügyeleti alkalmazásban. REvil 70 millió dolláros váltságdíjat követelt az áldozatoktól, hogy szerezzenek egy univerzális dekódert, hogy visszaállítsák a feltört fájlokhoz való hozzáférést. Ismeretlen okokból a REvil ransomware csoport hirtelen eltűnt, és fizetési webhelyeit és TOR infrastruktúráját blokkolták, így az áldozatoknak nem volt lehetőségük dekódolót szerezni.
Úgy tűnik, hogy eltűnésük előtt a fenyegetés résztvevői átadták a dekódert az orosz hírszerzésnek, amely jóakaratból megosztotta azt az amerikai bűnüldöző szervekkel. Ennek eredményeként Kaseya megkapta a dekódoló kulcsot egy meg nem nevezett "megbízható harmadik féltől", és gyorsan elosztotta az érintett ügyfeleknek. Augusztus elején a dekódoló eljutott az egyik hacker fórumra.
Legyen biztonságos napod!

FORTIS DISTRIBUTION

Forrás: www.cymulate.com