Actores maliciosos violaron los servidores de un organismo del gobierno regional en los EE. UU. y luego pasaron cinco meses usándolo para buscar herramientas de administración de TI y piratería que pudieran promover sus objetivos, según los investigadores de Sophos que investigaron y finalmente contuvieron el ataque “desordenado”.
Los investigadores compartieron hoy detalles del ciberataque de larga duración en el cliente no revelado, que finalmente vio a los atacantes filtrar los datos de la víctima e implementar el ransomware Lockbit. Creen que es posible que varios atacantes diferentes se hayan infiltrado en el servidor vulnerable.
“Este fue un ataque muy desordenado. Trabajando junto con el objetivo, los investigadores de Sophos pudieron construir una imagen que comenzó con lo que parecen ser atacantes novatos que irrumpieron en el servidor, hurgaron en la red y usaron el servidor comprometido para buscar en Google una combinación de versiones pirateadas y gratuitas de piratas informáticos y legítimos. herramientas de administración para usar en su ataque. Entonces parecían inseguros de qué hacer a continuación”, dijo Andrew Brandt, investigador principal de seguridad de Sophos.
El punto de acceso inicial parece haber sido a través de un puerto abierto de protocolo de escritorio remoto (RDP) en un firewall que se había configurado para brindar acceso público al servidor. Esto tuvo lugar en septiembre de 2021.
Como ya se señaló, los atacantes luego usaron un navegador en el servidor violado para buscar en línea herramientas de piratería, que luego intentaron instalar. En algunos casos, sus búsquedas los llevaron a descargas “sospechosas” que también desplegaron adware malicioso en el servidor comprometido.
Algunas de las herramientas que intentaron instalar incluyeron Advanced Port Scanner, FileZilla, LaZagne, mimikatz, NLBrute, Process Hacker, PuTTY, Remote Desktop Passview, RDP Brute Forcer, SniffPass y WinSCP. También intentaron utilizar herramientas comerciales de acceso remoto, incluidas ScreenConnect y AnyDesk.
“Si un miembro del equipo de TI no las ha descargado para un propósito específico, la presencia de dichas herramientas en las máquinas de su red es una señal de alerta de un ataque en curso o inminente”, dijo Brandt.
“La actividad de red inesperada o inusual, como una máquina que escanea la red, es otro indicador de este tipo. Las fallas repetidas de inicio de sesión de RDP en una máquina a la que solo se puede acceder dentro de la red son una señal de que alguien podría estar usando una herramienta de fuerza bruta para intentar moverse lateralmente, al igual que las conexiones activas de herramientas comerciales de acceso remoto que el equipo de TI no ha instalado o puede haber usado en el pasado, pero no lo he usado por un tiempo.”
En enero de 2022, los atacantes cambiaron sus tácticas y comenzaron a mostrar signos de actividad más hábil y enfocada. Se eliminó un criptominero malicioso implementado anteriormente, al igual que el software de seguridad del servidor: el objetivo accidentalmente dejó una función de protección desactivada después de una ronda anterior de mantenimiento. Luego pudieron robar datos e implementar Lockbit, aunque el ransomware solo tuvo un éxito parcial.
Brandt sugirió que este cambio de táctica podría ser indicativo de que un grupo separado se involucre por su propia voluntad, o que se haya vendido el acceso de alguna manera. “Alrededor de cuatro meses después de la brecha inicial, la naturaleza de la actividad de ataque cambió, en algunos casos tan drásticamente que sugiere que atacantes con habilidades muy diferentes se habían unido a la refriega”, dijo.
“Un enfoque de defensa en profundidad sólido, proactivo, las 24 horas del día, los 7 días de la semana, ayudará a evitar que un ataque de este tipo se arraigue y se desarrolle. El primer paso más importante es tratar de evitar que los atacantes obtengan acceso a una red en primer lugar, por ejemplo, mediante la implementación de la autenticación de múltiples factores y la configuración de reglas de firewall para bloquear el acceso remoto a los puertos RDP en ausencia de una VPN. [virtual private network] conexión.”
Saryu Nayyar, director ejecutivo y fundador de Gurucul, dijo que con tiempos de permanencia que superan los 250 días en algunos casos, los actores de amenazas podían ocultar mucho mejor su actividad de los s tradicionales.información de seguridad y gestión de eventos (SIEM) o detección y respuesta extendidas (XDR) herramientas que están orientadas a identificar patrones durante períodos de tiempo más cortos.
Dijo que poder ensamblar manualmente indicadores de compromiso (IoC) aparentemente dispares durante semanas o meses era prácticamente imposible para un equipo de seguridad, y algo con lo que luchan la mayoría de las soluciones actuales.
“Las organizaciones deben buscar agregar herramientas más avanzadas que vinculen eventos dispares a lo largo del tiempo utilizando análisis y modelos de aprendizaje automático adaptables y capacitados, no solo correlación simple o aprendizaje automático fijo basado en reglas”, dijo.
“Además, el contenido de amenazas incluido (lamentablemente, la mayoría de las empresas cobran por la detección automática de amenazas lista para usar), el análisis del tráfico de la red para identificar las comunicaciones externas no autorizadas y la línea de base y el análisis del comportamiento del usuario y la entidad en tiempo real se pueden usar para revelar cómo los comportamientos anómalos son amenazas de seguridad reales asociadas con una campaña de ataque. Esto cambia el juego para permitir que los equipos de seguridad sean proactivos versus reactivos”, dijo Nayyar.