5月份,一家汽车供应商的系统遭到破坏,三个不同的勒索软件团伙在两周内对文件进行了加密,其中两次攻击发生在短短两个小时内。
这些攻击发生在 2021年12月,可能的初始访问代理 (IAB) 首次破坏了公司的系统,该代理利用防火墙错误配置使用远程桌面协议 (RDP) 连接破坏了域控制器服务器。
虽然双重勒索软件攻击越来越普遍,但“这是我们看到的第一起事件,其中三个独立的勒索软件参与者使用相同的入口点攻击单个组织,”Sophos X-Ops 事件响应者 在 周三发布的一份报告中表示。
两个月内3次违规
在最初的妥协之后,LockBit、Hive 和 ALPHV/BlackCat 附属公司也分别于4月20日、5月1日和5月15日获得了对受害者网络的访问权限。
5月1日,LockBit 和 Hive 勒索软件有效载荷在两个小时内使用合法的 PsExec 和 PDQ Deploy 工具在网络上分发,在每次攻击期间加密了十几个系统(LockBit 附属公司还窃取数据并将其泄露到 Mega 云存储服务。
“由于 Hive 攻击是在 Lockbit 后 2 小时开始的,Lockbit 勒索软件仍在运行——因此两个组织都在不断寻找没有扩展名的文件,这表明它们已被加密,”Sophos X-Ops 补充道。
两周后,即 5月15日,当这家汽车供应商的 IT 团队仍在恢复系统时,BlackCat 威胁参与者也连接到同一台被LockBit和Hive 入侵的管理服务器。
在安装了合法的AteraAgent 远程访问解决方案后,他们在网络上获得了持久性并窃取了被盗数据。
在半小时内,BlackCat 附属公司使用 PsExec 在网络上交付了自己的勒索软件有效负载,在使用受损凭据横向移动通过网络后加密了六台机器。
攻击时间线 (Sophos X-Ops)
最后一个人锁门
通过删除卷影副本并清除受感染系统上的 Windows 事件日志,最后一个攻击者还使恢复尝试和 Sophos 团队的事件响应工作变得复杂。
BlackCat 附属机构抹去了 Sophos 可以用来追溯三个勒索软件团伙在受害者网络中的活动的证据。
Sophos 的事件响应人员在 5 月中旬协助受害者进行攻击调查,发现文件被 Lockbit、Hive 和 BlackCat 勒索软件加密了三次,以及加密系统上的三个不同的勒索记录。
“事实上,如下面的截图所示,有些文件甚至被加密了五次,”Sophos 团队表示。
“由于 Hive 攻击是在 Lockbit 后 2 小时开始的,Lockbit 勒索软件仍在运行——因此两个组织都在不断寻找没有扩展名的文件,这表明它们已被加密。”
文件加密五次 (Sophos)
如何防御勒索软件
Sophos 还发布了一份白皮书,分享了防御来自多个勒索软件团伙的类似攻击的指南。
建议组织保持其系统处于最新状态,并调查其环境中是否存在由威胁参与者引入的后门或漏洞,作为在被驱逐后重新获得网络访问权限的故障保险。
Sophos 还建议锁定 VNC 和 RDP 等服务或从外部访问的远程访问解决方案。
如果需要远程访问,它们应该可以通过 VPN 访问,并且只能通过具有强制多因素身份验证 (MFA) 和强密码的帐户访问。
还应通过将关键服务器分成 VLAN 来对网络进行分段,并且应对整个网络进行扫描和审计以查找未打补丁和易受攻击的设备。
