Раскрыта информация о брокерах первоначального доступа к Ransomware

В данном случае сеть использовала сервер удаленного рабочего стола (RDP) для доступа в Интернет, что может представлять опасность. Центр управления безопасностью (SOC) получил предупреждение о списке доменов и обнаружил брутфорс на службе RDP. Расследование атаки методом перебора может быть сложным, так как записи попыток входа заполняют журналы, но в данном случае такая телеметрия была доступна и позволила выявить успешную атаку. Учетная запись, получившая доступ, была скомпрометирована с нескольких IP-адресов, что указывало на использование инфраструктуры для взлома с различных серверов.

Успешный брутфорс открытого RDP-сервера позволил злоумышленнику получить доступ к сети, после чего он начал перечислять домен, включая различные группы и конфигурации. После обнаружения вредоносных сигналов перечисления была применена общесетевая изоляция, чтобы предотвратить дальнейшее распространение в сети. После изоляции SOC обнаружило необычную активность злоумышленника, которая выходила за рамки обычной модели поведения.

Когда злоумышленники проникают в сеть, они обычно исследуют и перемещаются боковыми каналами. Обычно они извлекают учетные данные из процесса Windows, таких как LSASS, или обращаются к файлам реестра. Тем не менее, в данном случае было обнаружено просмотр файловой системы и общих ресурсов, что является необычным. Гипотеза Huntress состоит в том, что у злоумышленников есть стандартная схема действий, включающая извлечение паролей из реестра, но обращение к паролям в файлах более редкое явление.

Выводы из описанного случая вторжения подчеркивают важность защиты от атак методом грубой силы, особенно в сетях с проблемами стандартной конфигурации регистрации. Телеметрия и анализ сигналов могут помочь выявить вторжения и предотвратить дальнейшее распространение в сети. Помимо извлечения учетных данных из процессов Windows, злоумышленники также могут обращаться к файловой системе и общим ресурсам для получения паролей.

В данном случае исследователи обнаружили деятельность злоумышленников, связанную с учетными данными, взламывавших файлы, содержащие пароли. Они выяснили, что IP-адреса атакующих были связаны с программой Hive ransomware и BlackSuit, а затем открыли интересное доменное имя specialsseason[.]com, связанное с инфраструктурой вредоносного ПО. При изучении IP-адресов и доменных имен, связанных с данной атакой, исследователи обнаружили различные коды стран, включая «RU» и США.

Кроме того, было обнаружено другое вредоносное доменное имя 1vpns[.]com, похожее на легитимный сайт VPN. Доклады оговорили использование этого VPN-сервиса разными группами вымогателей, а также было упомянуто о домене nologs[.]club, который, согласно FAQ VPN-сервиса, не ведет журналов и, таким образом, привлекателен для киберпреступников.

IPv4

• 147.135.36.162
• 64.190.113.159

Domains

• 1vpns.com
• specialsseason.com

Certificate Fingerprint (SHA-1)

• 65899cd65dd753d2eef5463f120ae023e873e1bd

Certificate Fingerprint (SHA256)

• 6bc8b8f260f9f9bfea69863ef8d3c525568676ddadc09c14655191cad1acdb5b
• b884cce828f06fb936fd5809d5945d861401c606c4ebe894464c99e6473e9570