Δεκάδες οι αναφορές από εταιρείες και οργανισμούς στην Ελλάδα οι οποίες δέχτηκαν hacking επίθεση και μολύνθηκαν με Conti Ransomware! Το FBI αναφέρει ότι οι hackers πίσω από το Conti ransomware επιτέθηκαν σε 16 δίκτυα υγειονομικής περίθαλψης και first-responder στις ΗΠΑ. Αυτά τα θύματα συγκαταλέγονται σε περισσότερους από 400 οργανισμούς παγκοσμίως που έχουν πέσει θύματα του Conti – 290 βρίσκονται στις Ηνωμένες Πολιτείες.
Στην Ελλάδα οι Conti Ransomware επιθέσεις έχουν στοιχήσει μέχρι στιγμής, συνολικά, πάνω από 800.000 ευρώ σε εταιρείες και οργανισμούς! Για λόγους ασφαλείας δεν θα αναφερθούμε σε λεπτομέρειες σχετικά με τις πληγείσες επιχειρήσεις, θέλοντας να προστατεύσουμε την ταυτότητά τους.
Στόχος του άρθρου μας είναι η ενημέρωση αναφορικά με το Conti Ransomware και την φύση των επιθέσεων σε παγκόσμιο επίπεδο καθώς επίσης και μια τεχνική ανάλυση εντοπισμού του ransomware που ευελπιστούμε να φανεί χρήσιμη στους ειδικούς ασφαλείας αλλά και όσους ενδιαφέρονται να λάβουν περισσότερες τεχνικές λεπτομέρειες.
Το παγκόσμιο σύστημα υγειονομικής περίθαλψης παρουσίασε αυξημένες επιθέσεις από διάφορες συμμορίες ransomware κατά τη διάρκεια της πανδημίας. Η Conti είναι μια από τις δώδεκα συμμορίες ransomware που στοχεύουν συστήματα υγειονομικής περίθαλψης, κυβερνητικούς και ιδιωτικούς οργανισμούς και υπηρεσίες first-responder. Οι άλλες συμμορίες είναι οι Maze, Nefilim και Sodinokibi, που φέρεται να έχουν πραγματοποιήσει πολλές επιτυχημένες επιθέσεις ransomware σε όλο τον κόσμο.
Οι επιθέσεις Conti ransomware αποδίδονται σε έναν ρωσικό απειλητικό παράγοντα, την ομάδα Wizard Spider, που λειτουργεί με το μοντέλο ransomware-as-a-service (RaaS). Η παραλλαγή μοιράζεται τον κώδικα με το Ryuk ransomware.
Μάθετε: UNC2465: Οι συνεργάτες του DarkSide έπληξαν πωλητή καμερών CCTV με supply chain επίθεση
Οι επιθέσεις Conti ransomware στοχεύουν υπηρεσίες επιβολής του νόμου και συστήματα υγειονομικής περίθαλψης
Η ειδοποίηση του FBI σημείωσε ότι οι επιθέσεις Conti ransomware στοχεύουν τις υπηρεσίες επιβολής του νόμου, τις ιατρικές υπηρεσίες έκτακτης ανάγκης, τα κέντρα αποστολής 911 και τους δήμους.
Η συμμορία Conti ransomware ήταν υπεύθυνη για τις επιθέσεις ransomware που υπέστη το ιρλανδικό σύστημα υγειονομικής περίθαλψης το οποίο αναγκάστηκε να διακόψει τις λειτουργίες του στα μέσα Μαΐου. Απαίτησαν 20 εκατομμύρια δολάρια σε λύτρα, απειλώντας να δημοσιεύσουν 700 GB δεδομένων εάν δεν λάμβαναν τα λύτρα.
Ο υπουργός Υγείας της Ιρλανδίας Stephen Donnelly είπε ότι το σύστημα υγειονομικής περίθαλψης της χώρας δεν πλήρωσε τα λύτρα. Ωστόσο, ο απειλητικός παράγοντας αργότερα παρείχε ένα κλειδί αποκρυπτογράφησης, αλλά εξακολουθούσε να απειλεί να δημοσιεύσει τα δεδομένα.
Δείτε επίσης: Ερευνητές αναλύουν την «επιχείρηση» του LockBit ransomware
Στα πρόσφατα θύματα επιθέσεων ransomware στις Ηνωμένες Πολιτείες περιλαμβάνεται το σύστημα υγειονομικής περίθαλψης Scripps στο Σαν Ντιέγκο. Επίσης, η Universal Healthcare Services, στις 3 Οκτωβρίου 2020 επιβεβαίωσε ότι δέχτηκε μια επίθεση ransomware που εκτελέστηκε από έναν διαφορετικό απειλητικό παράγοντα.
Και το Πανεπιστήμιο του Vermont Health Network υπέστη μια επίθεση ransomware στις 25 Οκτωβρίου 2020, η οποία του κόστισε περίπου 1,5 εκατομμύρια δολάρια ημερησίως ή συνολικά περίπου 63 εκατομμύρια δολάρια σε έξοδα και απώλεια εσόδων.
Το FBI κυκλοφόρησε τα εργαλεία, τις τεχνικές και τις διαδικασίες μιας τυπικής επίθεσης Conti. Σύμφωνα με την υπηρεσία, το Conti ransomware χρησιμοποιεί κακόβουλα email links, μολυσμένα συνημμένα ή κλεμμένα remote desktop credentials για να θέσει σε κίνδυνο τα δίκτυα.
“Η Conti οπλίζει τα έγγραφα του Word με ενσωματωμένα Powershell scripts, αρχικά κάνοντας stage το Cobalt Strike μέσω των εγγράφων του Word και στη συνέχεια ρίχνοντας το Emotet στο δίκτυο, δίνοντας στον χάκερ πρόσβαση για την ανάπτυξη του ransomware.”
Οι συμμορίες Conti ransomware αναπτύσσουν το ransomware χρησιμοποιώντας DLLs και χρησιμοποιούν εργαλεία που είναι ήδη διαθέσιμα στο δίκτυο. Αργότερα κάνουν κλιμάκωση των προνομίων με την χρήση των εργαλείων Windows Sysinternals και Mimikatz.
Δείτε επίσης: Ransomware ομάδες χρησιμοποιούν εικονικές μηχανές για να «καλύψουν» τις επιθέσεις τους
«Σε ορισμένες περιπτώσεις όπου απαιτούνται πρόσθετοι πόροι, οι χάκερ χρησιμοποιούν και το Trickbot. Μόλις οι χειριστές του Conti αναπτύξουν το ransomware, ενδέχεται να παραμείνουν στο δίκτυο και να κάνουν «beacon out» με την χρήση του Anchor DNS », αναφέρει το FBI.
Τα hacking tools του Conti επικοινωνούν μέσω θυρών 80, 443, 8080 και 8443. Χρησιμοποιούν επίσης παρόχους υπηρεσιών αποθήκευσης cloud, όπως το MegaNZ, για τη μεταφορά μεγάλων όγκων δεδομένων και την αποφυγή του endpoint detection.
Οι απειλητικοί παράγοντες παραμένουν στο δίκτυο αφού κρυπτογραφήσουν τα αρχεία. Η ομάδα πίσω από το Conti ransomware κρυπτογραφεί servers και workstations για να υποχρεώσει τα θύματα να πληρώσουν. Μερικές φορές χρησιμοποιούν το ProtonMail για να επικοινωνήσουν με τα θύματα.
Το FBI έδωσε κάποιες συμβουλές για να ξεπεραστούν οι επιθέσεις Conti ransomware
Το FBI συνέστησε στους στοχευμένους οργανισμούς να δημιουργούν τακτικά αντίγραφα ασφαλείας των δεδομένων τους και να αποθηκεύουν τα αντίγραφα τους offline. Αυτή η στρατηγική τους επιτρέπει να ανακάμψουν γρήγορα μετά από επιθέσεις ransomware χωρίς να χάσουν κρίσιμα δεδομένα.
Το FBI συνέστησε επίσης την τμηματοποίηση του δικτύου, την εγκατάσταση των security patches, ενημερώσεων και τη χρήση ελέγχου ταυτότητας πολλών παραγόντων και ισχυρών κωδικών πρόσβασης.
Συνέστησε επίσης την εκπαίδευση για την ευαισθητοποίηση του προσωπικού σχετικά με την ασφάλεια. Επιπλέον, το τακτικό penetration testing για την αποκάλυψη κενών ασφαλείας στον κύκλο ζωής ασφαλείας είναι κρίσιμο, σύμφωνα με τον Chris Clements της Cerberus Sentinel.
Ακολουθεί τεχνική ανάλυση εντοπισμού του Conti Ransomware από την Trend Micro.
Εντοπίζοντας την απειλή
Οι επιθέσεις εντοπίστηκαν μέσω του πίνακα Workbench, ο οποίος είναι προσβάσιμος τόσο στα SOC των οργανισμών όσο και στους ερευνητές του MDR. Μπορεί να χρησιμοποιηθεί για να βοηθήσει στην αντιμετώπιση των συνεχιζόμενων συμβάντων, καθώς και να προσθέσει πλαίσιο σε τυχόν συνεχιζόμενες έρευνες ασφαλείας.
Παρατηρείται ότι το sys64.dll (το Cobalt Strike beacon) διατάσσεται για εκτέλεση σε απομακρυσμένο μηχάνημα σε Workbench alert. Το parent process είναι winlogon., το οποίο χρησιμοποιείται γενικά για το χειρισμό εργασιών που σχετίζονται με τη σύνδεση. Αυτό καθιστά την κυκλοφορία του sys64.dll πολύ ύποπτη.
Η δεύτερη ειδοποίηση είναι παρόμοια με την πρώτη, αλλά αντί να εκτελεί το sys64.dll, εκτελεί το vd., το οποίο είναι επίσης Cobalt Strike beacon file. Η εντολή εδώ είναι:
Κατά την επιθεώρηση των συμβάντων χρησιμοποιώντας το Search App, βλέπουμε ότι αυτά τα εκτελέσιμα συστήματα υπόκεινται σε process injection με το Cobalt Strike beacon code (vd.) όπως υποδεικνύεται εδώ: “701 – TELEMETRY_MODIFIED_PROCESS_CREATE_REMOTETHREAD”.
Οι hackers προσπάθησαν στη συνέχεια να κάνουν dump domain password hashes χρησιμοποιώντας το ntdsutil, αποθηκεύοντας τα αποτελέσματα ως c: \ windows \ temp \ abc για μεταγενέστερη χρήση:
Οι εισβολείς δεν πραγματοποίησαν αμέσως άλλη κακόβουλη δραστηριότητα. Αντ ‘αυτού, αρκετές ώρες αργότερα, άρχισαν να αναπτύσσουν το Conti ransomware payload, το οποίο ανίχνευσε αμέσως το Predictive Machine Learning της Trend Micro. Το αρχείο xx.dll εντοπίζεται αυτήν τη στιγμή ως Ransom.Win64.CONTI.A.
Αυτό που δεν ήταν αμέσως σαφές ήταν το arrival vector του Cobalt Strike beacon. Το εξετάσαμε βαθύτερα χρησιμοποιώντας τα διαφορετικά χαρακτηριστικά του Trend Micro Vision One.
Χρησιμοποιώντας την εφαρμογή Observation Attack Techniques (OAT) της Trend Micro Vision One, παρατηρήσαμε ότι αρκετά endpoints άρχισαν να στέλνουν δεδομένα μόνο στην Trend Micro Vision One στις 11 και 12 Φεβρουαρίου του τρέχοντος έτους.
Τα σχόλια που παρέχονται από το Smart Protect Network δείχνουν πιθανές Cobalt Strike beacon ανιχνεύσεις στον ίδιο οργανισμό στις 4 Φεβρουαρίου. Αυτή μπορεί να είναι η πρώτη προσπάθεια διείσδυσης στον οργανισμό που δεν είχε αρχική επιτυχία.
Πέρα από αυτήν την πιθανή επίθεση, δεν καταφέραμε να προσδιορίσουμε κάποια συγκεκριμένη μέθοδο που χρησιμοποιήθηκε για την αρχική επίθεση. Ο hakcer μπορεί να έχει ξεκινήσει την επίθεση σε endpoints που δεν ήταν προστατευμένα ή δεν παρακολουθούνταν.
Ανταπόκριση σε Incident Response
Όπως σημειώσαμε νωρίτερα, ο οργανισμός ανταποκρίθηκε στην επίθεση με την παροχή περαιτέρω προστασίας στα endpoints. Ο hacker το γνώριζε φαινομενικά. Σε απάντηση, αποφάσισαν να διαγράψουν ευαίσθητες πληροφορίες το συντομότερο δυνατό.
Η εφαρμογή OAT έδειξε αρκετά Trend Micro Vision One Filter hits που σχετίζονται με “Rarely Accessed IP Address”. Η επέκταση των λεπτομερειών αποκάλυψε πού αποθηκεύουν τα κλεμμένα δεδομένα.
Το open-source tool “Rclone” χρησιμοποιείται συνήθως για το συγχρονισμό αρχείων με έναν καθορισμένο πάροχο αποθήκευσης cloud. Σε αυτό το περιστατικό, οι εισβολείς χρησιμοποίησαν το εργαλείο για να ανεβάσουν αρχεία στο Mega cloud storage.
Πρόσθετες Cobalt/Cobeacon παραλλαγές εμφανίστηκαν λίγες μέρες μετά το περιστατικό ransomware, υποδεικνύοντας ότι οι εισβολείς εξακολουθούν να έχουν πρόσβαση σε μη προστατευμένα endpoints.
Cobalt Strike Lateral Movement Techniques
Το χρονοδιάγραμμα μετά την έρευνα μοιάζει τώρα με αυτό:
Θα περιγράψουμε τώρα εν συντομία πώς το Cobalt Strike μπόρεσε να διαδώσει τον εαυτό του και το Conti ransomware σε όλο το δίκτυο.
Με την ικανότητά του να αποκτά πρόσβαση και να κάνει dump credential hashes από το LSASS, είναι σε θέση να ανακτήσει κωδικούς πρόσβασης και να τους χρησιμοποιήσει για περαιτέρω μετακίνηση.
Το Cobalt / Cobeacon χρησιμοποιεί εντολές αντιγραφής cmd. για την αποστολή αρχείων σε απομακρυσμένες μονάδες δίσκου. Μπορεί να εκδοθεί απευθείας από το injected process (συμπεριλαμβανομένων των winlogon., wininit. και wusa.) ή να χρησιμοποιήσει ένα batch script ως πρόσθετο επίπεδο.
Τα στοιχεία συνήθως βρίσκονται στις ακόλουθες διαδρομές:
ΝΤΟ:\
C: \ ProgramData \
C: \ Temp \
Στο remote endpoint, η διαδικασία δημιουργίας αρχείων θα ξεκινήσει από το ntoskrnl. Αυτή η συμπεριφορά μπορεί να συνδυαστεί με άλλες συμπεριφορές Cobalt / Cobeacon για έλεγχο παραβιάσεων ή απλώς χρησιμοποιείται για την παρακολούθηση αρχείων που δημιουργήθηκαν μέσω αυτής της μεθόδου, η οποία επιχειρεί να αποθηκεύσει αρχεία σε ύποπτες διαδρομές.
Το ίδιο ισχύει και όταν στέλνει τα commands για την εκτέλεση αντιγράφων του στα remote endpoints.
Εκτός από τη χρήση προγραμματισμένων εργασιών, χρησιμοποιεί εντολές WMI για την εκτέλεση ενός αντιγράφου DLL ή EΧE του ίδιου.
Πηγή πληροφοριών: www.trendmicro.com