Новости

Тенденции развития кибератак через кражу учетных данных от VPN

С начала мая зарегистрировано большое количество кибератак на образовательные учреждения с помощью программ-вымогателей. Информацией поделились в Arctic Wolf Labs после тщательного изучения цепочки атаки.
Уже не в первый раз злоумышленники используют украденные данные от VPN. А ведь про защиту VPN говорили многие организации из сферы ИБ и уже давно.
Группировка именованная "Fog" атакует образовательные учреждения с целью мгновенного получения выкупа, поэтому не отличаются изощренными методами атаки.
Специалисты Arctic Wolf Labs подготовили таблицу с Тактиками, Методами и Процедурами таких атак:
Tactic Technique Sub-techniques or Tools
Initial Access T1133: External Remote Services  
T1078: Valid Accounts • Compromised VPN Credentials
Discovery T1046: Network Service Discovery • SoftPerfect Network Scanner
• Advanced Port Scanner
T1135: Network Share Discovery • SharpShares
Lateral Movement T1021: Remote Services • T1021.001: Remote Desktop Protocol
• T1021.002: SMB/Windows Admin Shares
T1570: Lateral Tool Transfer • PsExec
Credential Access T1003: OS Credential Dumping • T1003.003: NTDS
T1555: Credentials from Password Stores • PowerShell script (Veeam-Get-Creds.ps1) to obtain passwords from the Veeam Backup and Replication Credentials Manager
T1110: Brute Force • T1110.004: Credential Stuffing
Persistence T1136: Create Account • T1136.001: Local Account (Administrator)
Execution T1059: Command and Scripting Interpreter • T1059.003: Windows Command Shell
T1569: System Services • T1569.002: Service Execution (PsExec)
Defense Evasion T1562: Impair Defenses • T1562.001: Disable or Modify Tools (Windows Defender/AV)
T1550: Use Alternate Authentication Material • T1550.002: Pass the Hash
T1078: Valid Accounts  
T1140: Deobfuscate/Decode Files or Information  
T1070: Indicator Removal • T1070.004: File Deletion
Impact T1486: Data Encrypted for Impact  
T1490: Inhibit System Recovery • vssadmin.exe used to delete volume shadow copies on the system
T1489: Service Stop  
Как сообщают исследователи, вначале была замечена активность pass-the-hash в отношении учётных записей администратора. Эти учётные записи использовались для установки RDP-соединений с серверами Windows, которые работали под управлением Hyper-V и Veeam.
Во всех случаях PsExec был развёрнут на нескольких хостах, а для доступа к целевым хостам использовались RDP/SMB.
На серверах Windows, с которыми взаимодействовали злоумышленники, Защитник Windows был отключён. Злоумышленники шифровали файлы виртуальных машин в хранилище и удаляли резервные копии из хранилища объектов в Veeam. Также они оставляли сообщения с требованием выкупа.
2024-06-06 12:00 Экспертиза