Studiuesit e Sophos kanë zbuluar një sulm të trefishtë ransomware kundër një furnizuesi të automobilave. Kjo është një ngjarje që nuk ka ndodhur kurrë deri më tani, mbi të gjitha sepse tre grupe të dallueshme të kriminelëve kibernetikë (Lockbit, Hive dhe BlackCat) kanë shfrytëzuar të njëjtën pikë hyrjeje, d.m.th. një konfigurim i gabuar i murit të zjarrit që lejoi aksesin në server nëpërmjet RDP (Remote Desktop Protocol). ).
Tre sulme ransomware në dy javë
Tre sulmet e ransomware filluan në maj, por qasja fillestare në server u mor në dhjetor 2021 nga një Broker Initial Access (IAB) i cili zbuloi cenueshmërinë dhe shiti aksesin në rrjetin e errët ose drejtpërdrejt në një nga tre grupet e kriminelëve kibernetikë. Lockbit shfrytëzoi konfigurimin e gabuar në mes të prillit, duke kopjuar të dhënat në shërbimin Mega, duke nxjerrë fjalëkalime me mjetin Mimikatz dhe më pas duke instaluar ransomware me dy skripta bash (1 maj) nëpërmjet PsExec.
Dy orë më vonë, ndërsa Lockbit ishte ende duke enkriptuar skedarët, grupi Hive u identifikua nëpërmjet RDP dhe instaloi ransomware-in e tyre me softuerin PDQ Deploy. Dy javë më vonë, ndërsa ekipi i IT i kompanisë së automobilave ishte i zënë me rivendosjen e sistemit, grupi BlackCat përdori të njëjtën dobësi RDP për të instaluar mjetin e aksesit në distancë Altera Agent dhe ransomware-in e tij.
Në total, skedarët u koduan pesë herë: dy herë nga Lockbit dhe Hive sepse ransomware-i përkatës po funksiononte në të njëjtën kohë dhe një herë nga BlackCat. Sophos rekomandon përditësimin e sistemit operativ dhe softuerit fillimisht. Është gjithashtu e nevojshme të parandaloni aksesin në distancë nëpërmjet RDP ose VNC, të përdorni vërtetimin me dy faktorë dhe të instaloni një zgjidhje sigurie.
Discussion about this post