Эксперты пошагово представили расследование атаки вымогательского ПО

Эксперты пошагово представили расследование атаки вымогательского ПО

Подробности взлома и другие данные экспертизы представляют большую ценность для команд безопасности организаций.

image

Хотя все компании, атакуемые вымогательским ПО, различны между собой, они все равно могут учиться на опыте друг друга. Пошаговая экспертиза атаки программы-вымогателя может помочь организациям осознать, что они также могут быть уязвимы к подобным атакам, а также пояснить, какие шаги следует предпринять во избежание этих атак.

На проходившей в online-режиме конференции (ISC)² Security Congress глава компания SCADAfence Элад Бен-Мейр (Elad Ben-Meir) представил подробности расследования атаки вымогательского ПО на крупное европейское промышленное предприятие, имевшей место ранее в нынешнем году. Подробности взлома и другие данные экспертизы представляют большую ценность для команд безопасности организаций.

Описанная SCADAfence кибератака началась ночью. В результате инцидента несколько критически важных сервисов перестали функционировать. IT-команда пострадавшего предприятия обнаружила на многих устройствах в корпоративной сети записку с требованием выкупа. Сначала она намеревалась заплатить выкуп, но после того, как вымогатели повысили цену, изменила свое решение и обратилась за помощью к команде реагирования на инциденты SCADAfence.

В течение первых семи часов атаки более 200 критических серверов были зашифрованы, и вся производственная линия остановилась. До прибытия на место происшествия специалисты проинструктировали IT-команду предприятия, как изолировать угрозу в одном определенном месте сети и тем самым сдержать ее распространение, сократить время простоя затронутых систем и сохранить улики в первоначальном виде.

Специалисты начали сбор доказательств еще до прибытия на место происшествия. Они попросили IT-команду предприятия как можно скорее собрать образы затронутых систем, файлов реестра и конфигурационных файлов, а также другие сведения, которые могли помочь в расследовании.

Прибыв на место происшествия, специалисты изучили инфицированные компьютеры. Они искали устройства с признаками вредоносной активности, например, с инструментами для осуществления атаки, которые могли привести к дальнейшему распространению инфекции. «Это дало нам уникальную картину того, что с чем коммуницирует, и как можно остановить атаку, определив эти связи», - сообщил Бен-Мейр.

Специалисты проверили конфигурацию машин, подозрительные исполняемые файлы, временные метки в файлах, файлы журналов и журналы событий. Подозрительные исполняемые и двоичные файлы были отправлены для дальнейшего анализа экспертам по реверс-инжинирингу. Экспертиза показала источник атаки, использовавшиеся в ней инструменты и индикаторы компрометации собранных двоичных и исполняемых файлов.

Через несколько часов после прибытия на место происшествия исследователи заметили активность сканирования сети с машины, отсутствующей в их списке зараженных устройств. Сканирование не было видно в журналах межсетевого экрана, потому что некоторые сети были соединены мостом с помощью сетевой карты (NIC) на машине, а не маршрутизации через межсетевой экран. IT-команда предприятия не знала об этих конфигурациях и считала, что весь межсегментный трафик маршрутизируется через межсетевой экран.

Для проникновения в корпоративную сеть злоумышленники использовали несколько методов. Во-первых, атакующие отключили обновления Windows и пытались скрыть свою активность, сохраняя исполняемые файлы в легитимных папках. Во-вторых, они отключили защиту конечных точек и в-третьих, заблокировали устройства ввода во время шифрования, чтобы сотрудники предприятия не могли остановить процесс шифрования.

Через 10 часов после прибытия специалистов на место происшествия ситуация была под контролем. Следователи выяснили, что зараженная машина была сторонним устройством, управляемым внешним подрядчиком, а его единственная цель заключалась в обеспечении входа в операционную технологическую сеть для обслуживания и поддержки. У машины был внешний IP-адрес, что затрудняло его поиск в журналах межсетевого экрана, и доступный через интернет открытый RDP-порт. Более того, устройство давно не обновлялось, а его межсетевой экран был отключен.

Во многих компаниях используется хотя бы одно неуправляемое устройство, открывающее доступ ко всей сети. Из-за недостаточной устойчивости такое устройство может позволить угрозе распространиться по всей сети. Для организаций крайне важно знать, кто подключается к их сети, установлены ли на устройстве обновления безопасности и включена ли защита конечных точек.

Бен-Мейр настоятельно рекомендовал компании сегментировать свои сети. «Чем меньше сегменты, тем они жестче и лучше управляемые и тем меньше вероятность распространения угрозы, меньше реальный ущерб инфраструктуре и меньше сбоев в производстве», - сообщил он.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.