В очередной раз слабая защита паролей стала причиной масштабной кибератаки, на этот раз с использованием SafePay ransomware . Эксперты NCC Group, специализирующиеся на цифровой криминалистике и реагировании на инциденты (DFIR), опубликовали подробный анализ инцидента, который демонстрирует, как элементарные упущения в безопасности привели к компрометации корпоративной сети.
Описание
Злоумышленники получили первоначальный доступ к системе через неправильно настроенный межсетевой экран Fortigate. Ошибка в политике брандмауэра позволяла локальным и LDAP-группам аутентифицироваться через VPN, обходя требования многофакторной аутентификации (MFA). Это дало возможность атакующему проникнуть в сеть, а слабые пароли на всех учетных записях, включая учетную запись доменного администратора, позволили ему быстро эскалировать привилегии.
После получения доступа злоумышленники использовали несколько методов для закрепления в системе. Одним из них стало создание службы ScreenConnect, предназначенной для удаленного доступа. Хотя точное назначение этого инструмента в данном инциденте осталось невыясненным, эксперты предполагают, что он применялся для поддержания доступа к инфраструктуре жертвы. Также был обнаружен бэкдор QDoor, замаскированный под файл soc.dll, который использовал техники обфускации для скрытия своего кода.
Атака развивалась по классическому сценарию: после разведки сети злоумышленники приступили к шифрованию данных с помощью SafePay ransomware. Вредоносное ПО добавляло к файлам расширение .safepay и оставляло на зараженных компьютерах записку с требованиями выкупа. Примечательно, что шифровальщик содержал встроенную проверку, предотвращающую его работу в русскоязычных странах, что может указывать на происхождение или связи злоумышленников.
Анализ вредоносного ПО показал, что SafePay использует алгоритм ChaCha20 для шифрования данных. Каждый файл кодируется с уникальным ключом, а для дешифровки злоумышленникам требуется доступ к своему закрытому ключу. Таким образом, восстановление данных без сотрудничества с преступниками практически невозможно.
Эксперты NCC Group также отметили, что злоумышленники применяли дополнительные методы для усложнения восстановления системы. Они удаляли теневые копии файлов (VSS), отключали механизмы автоматического восстановления Windows и изменяли пароли административных учетных записей, чтобы заблокировать доступ к инфраструктуре.
На данный момент нет достаточных данных для точной атрибуции атаки конкретной группировке. Хотя некоторые элементы кода напоминают Blacksuit ransomware, эксперты считают, что SafePay может быть либо полностью переработанной версией, либо работой другого коллектива. В любом случае, этот случай подчеркивает необходимость постоянного мониторинга угроз и оперативного реагирования на любые подозрительные активности в корпоративных сетях.
Индикаторы компрометации
IPv4
- 88.119.167.239
URLs
- http://nj5qix45sxnl4h4og6hcgwengg2oqloj3c2rhc6dpwiofx3jbivcs6qd.onion
Emails
- ColinSolomon@protonmail.com
- DepaolaKristabelle@protonmail.com
SHA1
- 07353237350c35d6dc2c8f143b649cd07c71f62b
SHA256
- 6c1d36df94ebe367823e73ba33cfb4f40756a5e8ee1e30e8f0ae55d47e220a6a
- 921df888aaabcd828a3723f4c9f5fe8b8379c6b7067d16b2ea10152300417eae
- e79608cf1d6b51324c14bef8883054c1238ed5f080222cc464810e6e14adc346
