Společnost Sophos analyzovala, jak se malware Maze třemi různými způsoby pokoušel provést ransomwarový útok s výkupným ve výši 15 milionů dolarů, přičemž při svém třetím pokusu útočníci použili trik s pokročilou verzí techniky zneužití virtuálního stroje, se kterou přišel Ragnar Locker
Praha, 21. září 2020 – Sophos, celosvětový lídr v řešeních kybernetického zabezpečení nové generace, publikoval studii „Útočníci za ransomwarem Maze použili techniku virtuálního stroje, se kterou přišel malware Ragnar Locker“, která ukazuje, jak se útočníci snažili třemi různými způsoby provést jeden ransomwarový útok s malwarem Maze, při kterém požadovali výkupné ve výši 15 milionů dolarů. Během třetího pokusu útočníci ovládající Maze zkusili využít k šíření ransomwaru virtuální stroj, což je technika poprvé použitá ransomwarem Ragnar Locker, jak o tom informoval Sophos v květnu 2020. Maze je jednou z notoricky známých rodin ransomwaru, je aktivní již od roku 2019, kdy se vyvinula z ransomwaru ChaCha, a je jednou z prvních, kdo kombinoval šifrování dat s odcizením informací.
Jak se rozvíjejí útoky ransomwaru Maze
Vyšetřování odhalilo, že útočníci pronikli do sítě nejméně šest dní předtím, než se poprvé pokusili spustit ransomware. Během této doby útočníci prozkoumávali síť, spouštěli legitimní nástroje třetích stran, vytvářeli spojení a vynášeli data do cloudové služby, aby se připravili na spuštění ransomwarové komponenty.
Po zahájení prvního ransomwarového útoku požadovali útočníci po oběti výkupné 15 milionů dolarů. Cíl útoku ale výkupné nezaplatil. Když útočníci zjistili, že jejich první pokus nevyšel, spustili druhý, trochu odlišný. Ten byl ale zachycen bezpečnostními nástroji a týmem Sophos Managed Threat Response (MTR), který řešil reakci na incident. Při třetím pokusu útočníci použili upravenou verzi techniky útoku malwaru Ragnar Locker s pomocí virtuálního stroje. Na něm tentokrát běžel systém Windows 7, namísto Windows XP, která použil Ragnar Locker, a útočníci zacílili na jediný souborový server. Došlo k okamžitému rozpoznání a zastavení útoku a použité techniky ransomwaru Ragnar Locker.
„Postup útoku, rozkrytý týmem společnosti Sophos reagujícím na hrozby, jasně ukazuje hbitost lidských protivníků a jejich schopnost rychle nahradit a rekonfigurovat použité nástroje a vrátit se do ringu na další kolo,“ řekl Peter Mackenzie, incident response manager ve společnosti Sophos. „Použití těžkopádné techniky ransomwaru Ragnar Locker s virtuálním strojem, který je velmi nápadný a vyvolává značné zatížení procesorů, může odrážet rostoucí frustraci na straně útočníků poté, co selhaly jejich první dva pokusy o zašifrování dat.“
Kroky k odvrácení kybernetických útoků
V rámci prevence kyberútoků, a obzvláště ransomwaru, Sophos doporučuje, aby týmy IT bezpečnosti omezili možnosti útoku přechodem na cloudové, vícevrstvé bezpečnostní systémy, které zahrnují anti-ransomwarovou technologii, vzdělávali zaměstnance v tom, na co si dát pozor, a zvážili zapojení lidské síly na pronásledování hrozeb, která bude hledat stopy probíhajících útoků.
„Každá organizace je cílem a každý spam nebo phishingový e-mail, nechráněný RDP port, zranitelné nechráněné zařízení na vstupu do sítě nebo odcizené přihlašovací údaje ke vzdálenému přístupu poskytují dostatečný prostor pro průnik protivníků,“ řekl Mackenzie.
Další informace a celý článek najdete na webu SophosLabs Uncut.
# # #
Další zdroje
- Pro pomoc při zastavení ransomwarových útoků si přečtěte pět včasných ukazatelů přítomnosti útočníka
- Více informací o Maze si můžete přečíst v článku Ransomware Maze vydírá svoje oběti už rok a pokračuje dál
- O ransomwaru Ragnar Locker a použití virtuálních strojů si přečtěte v článku Ransomware Ragnar Locker využívá k překonání zabezpečení virtuální stroj
- Další novinky o ransomwaru a kybernetické bezpečnosti najdete na webu Naked Security
- Vice informací o hrozbách a trendech, které by měly ovlivňovat kyberbezpečnost v roce 2020, naleznete ve zprávě Threat ReportSophosLabs
- Sledujte společnost Sophos prostřednictvím kanálů Twitter, LinkedIn, Facebook, Spiceworks a YouTube.
###
O společnosti Sophos
Jako celosvětový lídr v oblasti nové generace kybernetické bezpečnosti chrání Sophos více než 400 000 organizací všech velikostí ve více než 150 zemích před nejvyspělejšími kybernetickými hrozbami současnosti. S podporou globálního týmu pro zkoumání hrozeb a analýzu dat SophosLabs chrání řešení Sophos využívající cloud a umělou inteligenci jak koncové body (notebooky, servery a mobilní zařízení) tak i sítě před vyvíjejícími se technikami kybernetických útoků včetně ransomwaru, malwaru, exploitů, exfiltrování dat, narušení aktivními útočníky, phishingu atd. Cloudová platforma Sophos Central pro správu zabezpečení integruje celé portfolio nové generace produktů společnosti Sophos, včetně řešení pro koncové body Intercept X a nové generace firewallů XG, do jediného systému „synchronizovaného zabezpečení“ dostupného prostřednictvím sady API. Společnost Sophos provedla přechod k nové generaci kybernetického zabezpečení s využitím pokročilých možností cloudu, strojového učení, API, automatizace, řízené reakce na hrozby a dalších technologií, aby poskytovala nejlepší možnou úroveň ochrany organizacím všech velikostí. Sophos prodává své produkty a služby výhradně prostřednictvím globální sítě více než 53 000 partnerů a poskytovatelů řízených služeb. Prostřednictvím produktů Sophos Home zpřístupňuje Sophos své inovativní komerční technologie i koncovým zákazníkům. Sophos sídlí v britském Oxfordu a je veřejně obchodovatelnou společností na londýnské burze pod symbolem „SOPH“. Více informací naleznete na stránkách www.sophos.com.