Операторы Lockbit атакуют правительственные учреждения с особой осторожностью

Sophos Lockbit кибератака вымогательское ПО
Хакеры провели более пяти месяцев в поисках нужной информации в сети жертвы.

Операторы Lockbit атакуют правительственные учреждения с особой осторожностью

Специалисты из компании Sophos рассказали подробности о кибератаке неизвестных группировок на сети регионального правительственного агентства США. Хакеры провели более пяти месяцев в поисках нужной информации, а две или более группировок были активны в сети жертвы до того, как последняя развернула полезную нагрузку программы-вымогателя Lockbit.
В течение всего периода атаки хакеры использовали браузер Chrome для поиска (и загрузки) хакерских инструментов на скомпрометированный компьютер, где они получили свой первоначальный доступ. Хотя злоумышленники удалили многие журналы событий с подконтрольных систем, экспертам удалось обнаружить некоторые цифровые следы.
Как стало известно благодаря логам, злоумышленники устанавливали различные коммерческие инструменты удаленного доступа на доступные серверы и рабочие столы. Преступники предпочли инструмент IT-управления ScreenConnect, но позже переключились на AnyDesk, пытаясь обойти контрмеры ИБ-экспертов. Также были обнаружены журналы загрузки различных инструментов RDP-сканирования, эксплойтов, перебора паролей и свидетельства успешного использования этих инструментов.
Исследователи выявили множество других вредоносных программ, от ПО для перебора паролей до криптомайнеров и пиратских версий коммерческого программного обеспечения VPN-клиента. Были свидетельства того, что злоумышленники использовали бесплатные инструменты, такие как PsExec, FileZilla, Process Explorer или GMER, для выполнения команд, перемещения данных с одной системы на другую и отключения процессов, которые препятствовали их усилиям.
Технические специалисты, управляющие пострадавшей сетью, оставили защитную функцию отключенной после завершения обслуживания. В результате некоторые системы остались уязвимыми к атаке злоумышленников, которые отключили защиту конечных точек на серверах и настольных компьютерах.
Первоначальная компрометация произошла почти за полгода до того, как следователи обнаружили взлом. Злоумышленникам повезло, поскольку учетная запись, которую они использовали для взлома через RDP, была не только локальным администратором на сервере, но также имела права администратора домена, что давало ей возможность создавать учетные записи уровня администратора на других серверах и рабочих столах.
После трехнедельного перерыва злоумышленники удаленно подключились и установили инструмент Mimikatz. Первая попытка взлома была предотвращена, однако позже хакерам удалось запустить Mimikatz через скомпрометированную учетную запись. Киберпреступники также пытались собрать учетные данные с помощью другого инструмента под названием LaZagne.
Более чем через четыре месяца после первоначальной компрометации поведение злоумышленников внезапно стало более четким и целенаправленным, а следы IP-адресов прослеживались до Эстонии и Ирана.
Через шесть месяцев после начала атаки хакеры запустили Advanced IP Scanner и почти сразу же начали перемещение по сети на несколько конфиденциальных серверов. В течение нескольких минут злоумышленники получили доступ к множеству конфиденциальных данных.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *