حمله همزمان سه باج‌افزار به یک قربانی

شرکت سوفوس (Sophos) در گزارشی جزئیات حمله سایبری به یک شرکت خودروسازی که در اردیبهشت 1401، توسط سه باج‌افزار به طور جداگانه صورت گرفته را شرح داده است.

مهاجمان هر سه این باج‌افزارها، به طور مشابه از یک پیکربندی نادرست بهره‌جویی کردند – یکی از قواعد فایروال که پروتکل دسکتاپ از راه دور (Remote Desktop Protocol – به اختصار RDP) را در یک سرور مدیریت اجرا می‌کرد – اما هر یک از آنها از گونه‌ها و تاکتیک‌های باج‌افزاری متفاوتی استفاده کردند.

اولین باج‌افزار یعنی Lockbit داده‌ها را استخراج و به سرویس ذخیره‌سازی ابری Mega منتقل کرد، از Mimikatz برای سرقت رمز عبور استفاده نمود و باج‌افزار خود را با بکارگیری PsExec منتشر کرد.

مهاجمان باج‌افزار دوم که Hive نام داشت، از RDP برای گسترش آلودگی در شبکه استفاده کرده و تنها دو ساعت پس از حمله باج‌افزار Lockbit، کد مخرب خود را منتشر کردند.

هنگامی که قربانی داده‌ها را از نسخ پشتیبان بازیابی می‌کرد، مهاجمان ALPHV/BlackCat به شبکه دسترسی پیدا کرده و ابزار Atera Agent را که یک ابزار دسترسی از راه دور معتبر و متداول است جهت ماندگاری در سیستم نصب کردند و اقدام به استخراج داده‌ها نمودند. دو هفته پس از حملات Lockbit و Hive، مهاجمان باج‌افزار خود را توزیع کرده و لاگ‌های Windows را پاک کردند.

محققان سوفوس به این نکته پی بردند که همانطور که در شکل نشان داده شده، مهاجمان اقدام به رمزگذاری چندگانه چندین فایل نمودند به گونه‌ای که مشاهده شده برخی از این فایل‌ها، پنج بار رمزگذاری شده‌اند؛ هر کدام دو بار توسط Lockbit و Hive و یک بار توسط ALPHV/BlackCat.

 

 

سوفوس پیش از این نیز چندین حمله باج‌افزاری دوگانه را مورد بررسی قرار داده و اخیراً نیز حملات چندگانه را به‌طور کلی‌تر بررسی نموده است زیرا به نظر می‌رسد که به طور فزاینده‌ای این گونه تهدیدات متداول شده است. اما این اولین رویدادی است که در آن سه دسته مهاجم و باج‌افزار به طور مستقل از یک نقطه جهت ورود و حمله به یک سازمان واحد استفاده می‌کنند.

با این که حملات در اردیبهشت 1401 رخ داده، محققان مشاهده نمودند که یک مهاجم در دی 1400 یک پودمان RDP بر روی  Domain Controller سازمان ایجاد کرده‌ است؛ این فرد ممکن است مهاجم ایجاد کننده دسترسی اولیه (Initial Access Broker – به اختصار IAB) باشد؛ مهاجمی که سیستم‌های آسیب‌پذیر را شناسایی کرده و دسترسی به آنها را در سایت‌هایی در Dark Web به فروش می‌گذارد یا ممکن است یک عملیات جستجو و شناسایی اولیه جهت نفوذ باشد که توسط یکی از مهاجمان این سه باج‌افزار صورت گرفته است.

در هر صورت، در اواخر فروردین 1401، یکی از مهاجمان Lockbit از طریق سرور مدیریتی متصل به پودمان RDP به شبکه یک سازمان دسترسی پیدا کرد. سپس، مهاجم با نفوذ به سیستم‌های مجاور و متصل در شبکه به Domain Controller و سرورهای دیگر دست یافته و شروع به استخراج و انتقال داده‌ها به سرویس ذخیره‌سازی ابری Mega نمود و همچنین دو اسکریپت PowerShell زیر را اجرا کرد:

  • ps1 برای جمع‌آوری اطلاعات در خصوص پوشه‌های اشتراکی شبکه
  • invoke-mimikatz.ps1 جهت استخراج رمزهای عبور از Local Security Authority Subsystem – به اختصار LSASS

در 11 اردیبهشت 1401، مهاجمان Lockbit دو اسکریپت دسته‌ای (1.bat و 2.bat) را از طریق PsExec جهت توزیع فایل‌های اجرایی مخرب LockBit_AF51C0A7004B80EA.exe و Locker.exe در سراسر شبکه بکار گرفتند.

 

 

 

به محض اجرا، باج‌افزار فایل‌های موجود در 19 سرور را رمزگذاری کرده و اطلاعیه‌های باج‌گیری (Ransom Note) با نام Restore-My-Files.txt را در سیستم قرار می‌دهد.

دو ساعت بعد، در حالی که مهاجمان Lockbit در حال رمزگذاری فایل‌ها بودند، یکی از گردانندگان باج‌افزار Hive از طریق همان پودمان RDP به شبکه نفوذ و دسترسی پیدا کرد و از RDP برای انتقال و دستیابی به سرورهای دیگر استفاده نمود.

باج‌افزار Hive از نرم‌افزار معتبر (PDQ Deploy) که قبلاً در شبکه نصب شده بود جهت توزیع باینری مخرب باج‌افزار windows_x32_encrypt.exe استفاده کرد. مجرمان به سوءاستفاده از فایل‌های اجرایی معتبر ادامه می‌دهند و از تکنیک «کسب روزی از زمین» (Living off the Land – به اختصار LotL) در جریان این حملات استفاده می‌کنند. در روش LotL مجرمان سایبری از توابع و برنامه‌های عادی و سالم در سیستم قربانی برای انجام عملیات مخرب خود بر روی آن سیستم استفاده می‌کنند. این روش برای مخفی ماندن عملیات مخرب و شناسایی نشدن حملات بسیار مؤثر است. 

باج‌افزار Hive فایل‌های رمزگذاری‌شده را بر روی 16 سرور قرار داده و اطلاعیه‌های باج‌گیری دیگری به نام HOW_TO_DECRYPT.txt را بر روی دستگاه‌های آلوده شده قرار داده است.

 

در این مرحله، تیم فناوری اطلاعات سازمان، اکثر سیستم‌های آلوده را تا 10 اردیبهشت 1401 بازیابی کرد، یک روز قبل از اینکه مهاجمان Lockbit شروع به رمزگذاری فایل‌ها کنند. از منظر تحقیقاتی، این به معنای از بین رفتن برخی شواهد حیاتی بود. اما هنوز حملات تمام نشده بود.

تنها یک روز پس از بازیابی سیستم، مهاجمان ALPHV/BlackCat وارد عمل شدند و به واسطه بکارگیری پودمان RDP دقیقاً از همان سرور مدیریتی که توسط Lockbit و Hive مورد بهره‌جویی و حمله قرار گرفته به سازمان نفوذ و به Domain Controller، سرورهای فایل، سرورهای برنامه و سایر سرورها دست یافتند.

مهاجمان ALPHV/BlackCat داده‌ها را در طول یک هفته استخراج و به سرویس ذخیره‌سازی ابری Mega منتقل نمودند و با ایجاد یک دسترسی غیرمجاز (Back door) – یک ابزار دسترسی از راه دور معتبر به نام Atera Agent – ماندگاری خود را تثبیت کردند.

دو هفته پس از حملات Lockbit و Hive در 25 اردیبهشت 1401، مهاجمان باج‌افزار ALPHV/BlackCat با استفاده از اطلاعات اصالت‌سنجی یک کاربر هک شده، فایل‌های اجرایی مخرب fXXX.exe و fXX.exe را بر روی شش سرور قرر داده و یک اطلاعیه‌ باج‌گیری با عنوان RECOVER-eprzzxl-FILES.txt در هر پوشه بر جای گذاشتند.

تحلیل محققان SophosLabs، حاکی از آن است که این باینری‌های مخرب نه تنها فایل‌ها را رمزگذاری می‌کنند، بلکه Shadow Copy و لاگ‌های مربوط به رویدادهای رخ داده در Windows را نیز حذف می‌کنند؛ این امر روند آتی تحقیقات را پیچیده‌تر نمود زیرا مهاجمان ALPHV/BlackCat نه تنها گزارش لاگ‌های مربوط به حمله خود، بلکه موارد مربوط به حملات باج‌افزارهای Lockbit و Hive را نیز پاک کردند.

مشخص نیست که چرا باج‌افزارهای Lockbit و ALPHV/BlackCat هر کدام دو فایل اجرایی مخرب را مستقر کرده‌اند اما یکی از دلایل احتمالی آن تحمل‌پذیری خطا (Fault Tolerance) است؛ به این معنی که چنانچه یک فایل اجرایی شناسایی یا مسدود شود یا موفق به رمزگذاری فایل‌های سیستم نشود، دومی به عنوان پشتیبان عمل کند.

قابلیت‌های کلیدی باج‌افزار BlackCat

دو فایل اجرایی مخرب باج‌افزار BlackCat ا– fXXX.exe و fXX.exe – دارای قابلیت زیر هستند:

  • فایل‌ها را رمزگذاری کرده و پسوند eprzzxl. را به آن اضافه می‌کند.
  • شناسه‌های Universally Unique Ids – به اختصار UUIDs – را از دستگاه‌های آلوده شده استخراج می‌نماید:

  • قابلیت Remote to Local و Remote to Remote را فعال نموده تا امکان دسترسی آسان به فایل‌ها و پوشه‌ها از مکان‌های راه دور فراهم شود:

  • یک کلید Registry را با فرمان زیر تغییر داده تا امکان اجرای حداکثر تعداد درخواست‌های شبکه توسط پروسه‌های راه دور مجاز و قابل انجام باشد:

  • نسخ Shadow Copy را حذف می‌نماید:

  • با استفاده از فرمان زیر تعمیر و پاکسازی خودکار Windows را در دستگاه‌های آسیب‌پذیر غیرفعال می‌کند.

  • لاگ مربوط به رویدادهای Windows را پاک می‌کند.

پیامدهای بعدی

پس از نصب فایل‌های اجرایی مخرب، محققان سوفوس فایل‌هایی را شناسایی نمودند که توسط هر سه گروه باج‌افزاری رمزگذاری شده بودند؛ در واقع، همانطور که در تصویر نشان داده شده، برخی از فایل ها حتی پنج بار رمزگذاری شده بودند!

از آنجایی که حمله باج‌افزار Hive، دو ساعت پس از حمله باج‌افزار Lockbit شروع شد، باج‌افزار Lockbit همچنان در حال اجرا بود، بنابراین هر دو گروه به یافتن فایل‌ها ادامه دادند بدون اینکه بر روی فایل‌های رمزگذاری شده پسوندی قرار دهند.

با این حال، علی‌رغم اینکه هر سه گروه باج‌افزاری به‌ بکارگیری تکنیک‌های «اخاذی مضاعف» (Double Extortion Technique) شناخته می‌شوند – در این تکنیک مهاجمان علاوه بر رمزگذاری فایل‌ها، تهدید می‌کنند که در صورت عدم پرداخت باج مطالبه شده، اقدام به انتشار داده‌های قربانی خواهند کرد – هیچ یک از اطلاعات سرقتی در این حملات منتشر نشد.

مواردی نظیر بازیابی سیستم، پاک کردن لاگ‌های BlackCat، فقدان لاگ‌های DHCP و تلفیق این سه حمله همگی موجب شدند که تحلیل حملات سه‌گانه برای محققان سوفوس دشوار شود.

علیرغم این چالش‌ها، تیم امنیتی سوفوس توانست شواهد به جا مانده را جمع‌آوری و تحلیل کند.

وقتی صحبت از دفاع به میان می‌آید، دو مورد همواره باید مورد توجه قرار گیرد: پیشگیری (بکارگیری از بهترین راهکارهای امنیتی برای به حداقل رساندن خطر حملات) و واکنش و پاسخ‌دهی (نحوه بازیابی سریع و ایمن در صورت وقوع حمله).

در بخش پیشگیری (Proactive)، در این مقاله بهترین راهکارها به طور کامل تشریح شده که در ادامه به مهمترین آنها می‌پردازیم:

به‌روزرسانی و اعمال وصله‌ها

همواره سیستم‌عامل Windows و سایر نرم‌افزارها را به‌روز نگه دارید (و هشدارها را جهت اطلاع‌رسانی در خصوص آسیب‌پذیری‌ها تنظیم کنید و منابع خبری را دنبال نمائید تا از اخبار جدید ضعف‌های امنیتی و باگ‌ها مطلع باشید).

همچنین بررسی کنید که آیا وصله‌های امنیتی به درستی نصب شده‌اند و برای سیستم‌های حیاتی نظیر سیستم‌های متصل به اینترنت یا Domain Controller  اعمال شده‌اند یا خیر.

اعمال وصله‌ها در اسرع وقت، بهترین راهکار جهت جلوگیری از حملات در آینده است اما به این معنی نیست که قبلاً مورد حمله قرار نگرفته‌اید. توصیه می‌شود اطمینان حاصل نمائید که سازمان شما قبل از اجرای وصله‌ها مورد نفوذ قرار نگرفته باشد.

مهاجمان ممکن است دسترسی‌های غیرمجاز (که ممکن است شامل نصب نرم‌افزارهای معتبر و متداول باشد) را غیرفعال کنند یا آسیب‌پذیری‌های جدیدی را عمداً یا سهوا معرفی کنند، بنابراین این نکته‌ای کلیدی جهت واکنش و پاسخ به حملات احتمالی بعدی است.

مسدودسازی سرویس‌های قابل دسترس

شبکه سازمان خود را از بیرون پویش کنید و درگاه‌هایی را که معمولاً توسط VNC ،RDP یا سایر ابزارهای دسترسی از راه دور استفاده می‌شود، شناسایی و مسدود نمائید. اگر سیستمی باید با بکارگیری ابزار مدیریت از راه دور قابل دسترس باشد، آن ابزار را از طریق VPN یا یک راهکار امنیتی موسوم به اعتماد صفر (Zero-trust) که از MFA برای ورود به سیستم خود استفاده می‌کند، در دسترس قرار دهید.

همچنین لازم به یادآوری است که حملات می‌توانند بیش از یک بار اتفاق بیفتند. اگر یک نقطه دسترسی باز بماند، سایر مهاجمان احتمالاً آن را شناسایی کرده و از آن بهره‌جویی می‌کنند.

تقسیم بندی شبکه و بکارگیری رویکرد اعتماد صفر

سرورهای مهم را از یکدیگر و از ایستگاه‌های کاری با قرار دادن آنها در VLAN مجزا جدا و تقسیم‌بندی کنید و به این ترتیب از یک مدل  اعتماد صفر (Zero-trust) در شبکه استفاده کنید.

بکارگیری رمزهای عبور قوی و استفاده از احراز هویت چندعاملی

رمزهای عبور قوی به عنوان یکی از اولین خطوط دفاعی محسوب می‌شوند. تمامی رمزهای عبور باید منحصر به فرد و پیچیده باشند و هرگز مجدد مورد استفاده قرار نگیرند. چنانچه یک نرم‌افزار مدیریت رمز عبور را جهت ذخیره اطلاعات اصالت‌سنجی در اختیار کارکنان قرار دهید، انجام این کار آسان‌تر خواهد بود. با این وجود حتی رمزهای عبور قوی نیز ممکن است مورد سرقت قرار بگیرند و افشاء شوند.

استفاده از احراز هویت چند عاملی (Multifactor Authentication – به اختصار MFA) جهت ایمن‌سازی دسترسی به منابع مهم نظیر ایمیل، ابزارهای مدیریت از راه دور و دارایی‌های شبکه بهتر از عدم بکارگیری MFA است.

ایجاد فهرستی از تجهیزات و حساب‌های کاربری

دستگاه‌های محافظت‌نشده و وصله‌نشده در شبکه موجب افزایش تهدیدات می‌شوند و موقعیتی را ایجاد می‌کنند که در آن فعالیت‌های مخرب ممکن است مورد توجه قرار نگیرند.

داشتن فهرستی از موجودی فعلی سازمان یعنی تمام کامپیوترهای متصل به شبکه و دستگاه‌های IoT حیاتی است. بدین منظور می‌توانید از پویش‌های شبکه و بررسی فیزیکی جهت مکان‌یابی و فهرست‌بندی آنها استفاده کنید.

به منظور مسدودسازی مهاجمان در نقاط مختلف، از راهکارهای امنیتی چند لایه استفاده کنید. این محصولات امنیت را در تمام نقاط پایانی شبکه خود گسترش دهید.

در عین حال هنگامی که مهاجمان داخل یک شبکه باشند، بدون داشتن برنامه‌ای جامع جهت واکنش به رویدادها، کاهش و انجام اقدامات فوری، کار زیادی نمی‌توان برای «توقف آلوگی» انجام داد.

نشانه‌های آلودگی (Indicators of Compromise – به اختصار IoC) مربوط به باج‌افزارهای Lockbit ،Hive و BlackCat در نشانی‌های زیر قابل دریافت می‌باشد:

https://github.com/sophoslabs/IoCs/blob/master/Ransomware_BlackCat%20-%20triple%20ransomware%20attack.csv

https://github.com/sophoslabs/IoCs/blob/master/Ransomware_Hive%20-%20triple%20ransomware%20attack.csv

https://github.com/sophoslabs/IoCs/blob/master/Ransomware_Lockbit%20-%20triple%20ransomware%20attack.csv

 

 منبع

 https://news.sophos.com/en-us/2022/08/10/lockbit-hive-and-blackcat-attack-automotive-supplier-in-triple-ransomware-attack/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *