FBI upozorava: Kompanije, pazite se LockerGoga i MegaCortex ransomware pretnji!
Sajber pretnje koje su izazvale ogromne gubitke kompanijama i dalje su aktivne.
Ovih dana, američki FBI upozorava kompanije na dve opasne ransomware pretnje i objavljuje informacije i smernice za zaštitu. Napadači koji stoje iza LockerGoga i MegaCortex projekata ulaze u korporativnu mrežu pomoću exploita, phishinga, SQL injection napada i ukradenih login kredencijala. Kada kompromituju mrežu, instaliraju pentest alat Cobalt Strike koji im omogućava da naprave komandno okruženje, izvrše PowerShell skripte, eskaliraju privilegije ili otvore novu sesiju kako bi prisluškivali žrtvu.
Napadači nakon kompromitovanja ostaju u mreži mesecima pre nego što aktiviraju ransomware. Ne zna se pouzdano koje sve akcije sprovode dok su u mreži, ali je logično pretpostaviti da izvlače podatke, ubacuju trojance koji kradu informacije i dodatno kompromituju radne stanice i servere. Kada izvuku sve što im je vredno, napadači pokreću LockerGoga ili MegaCortex infekciju kojom započinje proces zaključavanja podataka na uređajima u mreži. Ransomware je poslednje sredstvo preko koga napadači pokušavaju da ostvare profit od napada.
Tokom puštanja ransomwara, napadači izvršavaju kill.bat ili stop.bat batch fajl koji gasi procese i servise AV rešenja, onemogućava opcije skeniranja Windows Defenderu i onemogućava bezbednosne servise. Takođe, koriste razne LOLBins alate, odnosno legitimne alate u maliciozne svrhe (7-Zip, PowerShell skripte, wmic, nslookup, adfind.exe, mstds.exe, Mimikatz, Ntsdutil.exe i massscan.exe). Za ove ransomware pretnje ne postoji dekriptor, odnosno ne možete besplatno vratiti fajlove.
Od januara 2019, LockerGoga targetira velike kompanije i organizacije. Do sada je imao nekoliko uspešnih napada u SAD-u, UK-u, Francuskoj, Norveškoj i Holandiji. Jedan od najvećih napada je onaj na norveškog proizvođača aluminijuma Norsk Hydro koji je prekinuo poslovne operacije kompanije na 40 lokacija širom sveta, a inicijalni gubici posle 7 dana su procenjeni na oko 40 miliona dolara. MegaCortex ransomware je prvi put primećen u maju 2019. i ima slične indikatore kompromitovanosti, C2 serversku infrastrukturu i targetira slične mete kao LockerGoga.
FBI preporuke za odbranu od ransomware pretnji
-
Redovno vršite backup podataka, čuvajte offline backup i verifikujte integritet backup procesa.
-
Redovno ažurirajte instalirane aplikacije i OS.
-
Omogućite dvofaktorsku autentifikaciju i koristite jake lozinke kako bi sprečili phishing napade, krađu kredencijala i druge, slične pretnje.
-
Javno izloženi remote desktop serveri su uobičajena meta za ulazak napadača u mrežu, zbog toga čuvajte logove za sve protokole remote konekcija.
-
Pratite kreiranje novih naloga.
-
Skenirajte otvorene ili listening portove na mreži i blokirajte pristup.
-
Onemogućite SMBv1 protokol koji je poznat po brojnim ranjivostima i slabostima.
-
Pratite da li u AD-u (Active Directory) i pri promenama u administratorskim grupama ima neautorizovanih korisnika.
-
Koristite poslednju PowerShell verziju i deinstalirajte sve prethodne.
-
Omogućite PowerShell logging i pratite neuobičajene komande, posebno izvšenje Base64 encoded PowerShell.
Izvor: Bleeping Computer