מתקפה כפולה: 2 קבוצות כופר תקפו ארגון במקביל ואז הודעת הכופר הראשונה הוצפנה
מאת:
מערכת Telecom News, 22.3.22, 17:24
לחטוף פגיעה כפולה ממתקפות כופר הוא תרחיש אימה עבור כל ארגון. מי היו 2 כנופיות הכופר? איך המתקפה התנהלה?
סופוס, שעוסקת באבטחת סייבר של הדור הבא, פרסמה ממצאים אודות מתקפת כופר במסגרתה הודעות הסחיטה, שהשאירו מפעילי תוכנת הכופר
Karma הוצפנו 24 שעות לאחר מכן ע"י
Conti - כנופיית מתקפות כופר, ששהתה ברשת הקורבן באותו הזמן בדיוק.
המחקר על המתקפה הכפולה
“Conti and Karma Actors Attack Healthcare Provider at Same Time Through ProxyShell Exploits” מסביר כיצד מפעילי ההתקפות השיגו גישה לרשת דרך שרת
Microsoft Exchange שלא עודכן, אבל לאחר מכן השתמשו בטקטיקות שונות כדי להוציא לפועל את ההתקפות.
שון גלגאהר, (בתמונה משמאל), חוקר איומים ראשי, סופוס: "לחטוף פגיעה כפולה ממתקפות כופר הוא תרחיש אימה עבור כל ארגון. לאורך רצף הזמן המשוער היו בערך 4 ימים בהם תוקפי
Conti ו-
Karma היו פעילים במקביל בתוך רשת הקורבן. הם נעו אחד מסביב לשני, כשהם מורידים ומריצים קוד, מתקינים
beacons של
Cobalt Strike, אוספים ומחלצים נתונים, ועוד.
Karma הפעילה ראשונה את השלב הסופי של ההתקפה שלה, כשהיא משאירה הודעת סחיטה במחשבים עם דרישה לתשלום בביטקוין בתמורה לאי-פרסום נתונים שנגנבו. לאחר מכן פגעה
Conti, כשהיא מצפינה את נתוני הקורבן באמצעות מתקפת כופר מסורתית יותר. בהשתלשלות המוזרה של הדברים, הודעות הסחיטה של
Karma הוצפנו ע"י
Conti.
ראינו מספר מקרים כאלה לאחרונה, בהם גורמי ההפצה של תוכנות כופר, כולל מפיצים של
Conti, השתמשו בחולשות של
ProxyShell כדי לחדור לרשתות של מטרות. ראינו גם דוגמאות של מספר גורמים הפורצים דרך אותה חולשה כדי להשיג גישה לקורבן. עם זאת, רק במעט מהמקרים נצפו קבוצות כופר תוקפות את הקורבן במקביל. הדבר מראה עד כמה אופק איומי תוכנות הכופר הפך לתחרותי וצפוף".
מתקפה כפולה
החברה מאמינה, שהאירוע הראשון החל ב-10.8.21 כאשר תוקפים, כנראה גורמים המתמחים בהשגה ומכירה של גישה ראשונית (
Initial Access Brokers), השתמשו בחולשת
ProxyShell כדי להשיג גישה לרשת ולבסס נוכחות בשרת הפגוע. החקירה של החברה מראה, שכמעט 4 חודשים עברו לפני ש-
Karma הופיע ב- 30.11.21 כשהוא מחלץ אל הענן יותר מ- 52 גיגהביט של נתונים.
- תוקפי Karma העלו את הודעות הסחיטה ב-20 מחשבים, עם דרישת הכופר והסבר, שהם לא הצפינו את הנתונים מכיוון שמדובר בארגון שהוא ספק שירותי בריאות.
- Conti פעל בשקט ברקע כשגם הוא מחלץ נתונים.
- הארגון הכניס את צוות התגובה של החברה לזירת האירועים כדי לסייע עם Karma
כאשר החברה נכנסה למעגל התגובה,
Conti הפעילו את תוכנת הכופר ב-4.12.21. ואז אותר את מקור ההתקפה של
Conti בחולשת
ProxyShell אחרת, שנוצלה ב-25.11.21.
גלגאהר: "בין אם הפורץ הראשוני מכר את הגישה ל-2 קבוצות כופר שונות, או ששרת ה-
Exchange הפגוע היה פשוט מטרה חסרת מזל למפעילי תוכנת הכופר, העובדה, שהתאפשרה התקפה כפולה היא תזכורת חזקה לצורך לעדכן פגיעויות עם קישוריות לאינטרנט בהקדם האפשרי.
עומק הגנתי הוא חיוני כדי לזהות ולחסום תוקפים בכל שלב של שרשרת ההתקפה. במקביל, הגנה פרו אקטיבי, בהובלת ציידי איומים אנושיים, נדרשת כדי לחקור כל התנהגות חשודה, כגון גישה מרחוק בלתי צפויה או שימוש בכלים לגיטימיים מחוץ לתבניות השימוש המוכרות אלו יכולים לשמש כהתראות מוקדמות למתקפת כופר מתקרבת".