Тенденции развития кибератак через кражу учетных данных от VPN

С начала мая зарегистрировано большое количество кибератак на образовательные учреждения с помощью программ-вымогателей. Информацией поделились в Arctic Wolf Labs после тщательного изучения цепочки атаки.

Уже не в первый раз злоумышленники используют украденные данные от VPN. А ведь про защиту VPN говорили многие организации из сферы ИБ и уже давно.

Группировка именованная "Fog" атакует образовательные учреждения с целью мгновенного получения выкупа, поэтому не отличаются изощренными методами атаки.

Специалисты Arctic Wolf Labs подготовили таблицу с Тактиками, Методами и Процедурами таких атак:

Tactic	Technique	Sub-techniques or Tools
Initial Access	T1133: External Remote Services
Initial Access	T1078: Valid Accounts	• Compromised VPN Credentials
Discovery	T1046: Network Service Discovery	• SoftPerfect Network Scanner • Advanced Port Scanner
Discovery	T1135: Network Share Discovery	• SharpShares
Lateral Movement	T1021: Remote Services	• T1021.001: Remote Desktop Protocol • T1021.002: SMB/Windows Admin Shares
Lateral Movement	T1570: Lateral Tool Transfer	• PsExec
Credential Access	T1003: OS Credential Dumping	• T1003.003: NTDS
	T1555: Credentials from Password Stores	• PowerShell script (Veeam-Get-Creds.ps1) to obtain passwords from the Veeam Backup and Replication Credentials Manager
	T1110: Brute Force	• T1110.004: Credential Stuffing
Persistence	T1136: Create Account	• T1136.001: Local Account (Administrator)
Execution	T1059: Command and Scripting Interpreter	• T1059.003: Windows Command Shell
Execution	T1569: System Services	• T1569.002: Service Execution (PsExec)
Defense Evasion	T1562: Impair Defenses	• T1562.001: Disable or Modify Tools (Windows Defender/AV)
	T1550: Use Alternate Authentication Material	• T1550.002: Pass the Hash
	T1078: Valid Accounts
	T1140: Deobfuscate/Decode Files or Information
	T1070: Indicator Removal	• T1070.004: File Deletion
Impact	T1486: Data Encrypted for Impact
	T1490: Inhibit System Recovery	• vssadmin.exe used to delete volume shadow copies on the system
	T1489: Service Stop

Как сообщают исследователи, вначале была замечена активность pass-the-hash в отношении учётных записей администратора. Эти учётные записи использовались для установки RDP-соединений с серверами Windows, которые работали под управлением Hyper-V и Veeam.

Во всех случаях PsExec был развёрнут на нескольких хостах, а для доступа к целевым хостам использовались RDP/SMB.

На серверах Windows, с которыми взаимодействовали злоумышленники, Защитник Windows был отключён. Злоумышленники шифровали файлы виртуальных машин в хранилище и удаляли резервные копии из хранилища объектов в Veeam. Также они оставляли сообщения с требованием выкупа.