В мае 2022 года один из поставщиков автомобильной продукции подвергся трем отдельным атакам с использованием вымогательского ПО. Все три угрозы использовали одну и ту же неправильную конфигурацию - правило брандмауэра, открывающее доступ к протоколу удаленного рабочего стола (RDP) на сервере управления, - но использовали разные штаммы и тактики вымогательского ПО.
Первая группа, получившая название Lockbit, осуществляла утечку данных в облачный сервис хранения Mega, использовала Mimikatz для извлечения паролей и распространяла двоичный файл выкупа с помощью PsExec.
Вторая группа, идентифицированная как Hive, использовала RDP для бокового перемещения, а затем выпустила свою программу-выкуп всего через два часа после угрозы Lockbit.
Пока жертва восстанавливала данные из резервных копий, филиал ALPHV/BlackCat получил доступ к сети, установил Atera Agent (легитимный инструмент удаленного доступа) для обеспечения устойчивости и эксфильтрировал данные. Через две недели после атак Lockbit и Hive угрожающий субъект распространил свое вымогательское ПО и очистил журналы событий Windows. Команда быстрого реагирования (RR) Sophos провела расследование и обнаружила несколько файлов, которые были зашифрованы несколько раз - в некоторых случаях до пяти.
Indicators of Compromise
SHA256
- 24a087ac1d44356a49e67dbfdc8bd1a393a524282f2b4df2daa76e3a38638f2f
- 4b8e83f4f6257fc1b9fa485030c4f195313bf3b1f41d279bbc728abc6bb9309a
- 9078564b65b9ac3ce4f59c929207f17037ef971429f0d3ef3751d46651fec8c6
- a385b92ce5ffa4171c94997f158ec5c02181da77ec0bc5f9457c98fb9d38158b
- a50ddd96edf7f66a29b407657e8548e2b026bf1ac3d4e08e396f4043d4513f9e