A Sophos "Cring Zsarolóvírus Exploits Ancient ColdFusion Server" kutatásában ("A Cring zsarolóvírus a nagyon régi ColdFusion szervert használja ki") bemutatnak egy kifinomult támadást, amelyet a Cring zsarolóvírus üzemeltetői hajtottak végre miután feltörtek egy 11 évvel ezelőtti verziójú Adobe ColdFusion 9 szoftvert futtató, javítatlan és frissítetlen szervert.
A célpont a szervert munkaidő-nyilvántartási és számviteli adatok gyűjtésére használta a bérszámfejtéshez, illetve számos virtuális gépet hosztolt rajta. A támadók az internetre kapcsolódó szervert percek alatt törték fel, a zsarolóvírust pedig 79 órával később indították el.
"A sebezhető, elavult szoftvert futtató eszközök ideális gyenge pontot jelentenek a digitális támadóknak, akik könnyű utat keresnek a célpont felé." mondta Andrew Brandt, a Sophos vezető kutatója. "A Cring zsarolóvírus nem új, de nem túl gyakori. Az általunk vizsgált incidens célpontja egy szolgáltató cég volt, és a hálózatba való bejutáshoz csak egy internetre kapcsolódó gépre volt szükség, amely régi, elavult és javítatlan, frissítetlen szoftvert futtatott. A meglepő dolog az volt, hogy ez a szerver aktív napi használatban állt. A legsebezhetőbb eszközök gyakran inaktív vagy "szellem" gépek, melyekről vagy megfeledkeztek, vagy elkerülték a figyelmet a javítások és frissítések telepítése során.
"Azonban állapottól függetlenül - akár használatban lévő, akár inaktív gépekről is legyen szó - a javítás és frissítés nélküli, internetre kapcsolódó szerverek vagy más eszközök elsődleges célpontok a kiberbűnözők számára, akik a cég támadási felületét szkennelik sebezhető behatolási pontok után kutatva. Ez egy igen jelentős emlékeztető, hogy az IT adminisztrátorok számára előnyt jelent, ha pontos leltárjegyzékkel rendelkeznek az összes hálózati eszközükről és nem hagyhatnak üzleti szempontból kritikus, internethez kapcsolódó rendszereket elavult állapotban. Ha a szervezetek bárhol a hálózatukon ilyen eszközökkel rendelkeznek, biztos lehetnek benne, hogy vonzani fogják a digitális támadókat. Ne könnyítse meg a kiberbűnözők életét!"
A Sophos elemzése azt mutatja, hogy a támadók a célpont weboldalának automatikus eszközökkel történő szkennelésével indítottak és perceken belül képesek voltak betörni a hálózatra, miután észlelték, hogy egy javítások nélküli ColdFusion verzió fut egy szerveren.
A Sophos azt találta, hogy a kezdeti behatolást követően a támadók meglehetősen kifinomult technikákat alkalmaztak a fájljaik elrejtésére, a memóriába történő kódinjektálásra és a nyomaik eltüntetésére. Értelmetlen adatokkal írták felül a fájlokat vagy törölték a naplózást és egyéb eszközöket, amelyeket a fenyegetésekre vadászó szakemberek használhattak volna egy nyomozás során. A támadók a biztonsági eszközöket is képesek voltak deaktiválni, mivel az önvédelmi funkciók ki voltak kapcsolva.
A támadók hátrahagytak egy váltságdíj-követeléses üzenetet, amelyben azt mondták, hogy adatokhoz is hozzájutottak a támadás során, melyek "készen állnak a kiszivárogtatásra, amennyiben nem tudnánk jó üzletet kötni".
A Sophos a következő bevált gyakorlatokat ajánlja a Cring és más típusú zsarolóvírusok, illetve hasonló kibertámadások elleni védekezéshez:
Stratégiai szinten:
- Többrétegű védelem használata. Ahogy egyre több zsarolóvírus támadás részét képezi a másodlagos, ellopott adatokkal való zsarolás, a biztonsági másolatok továbbra is szükségesek, de nem elegendőek. Minden eddiginél fontosabb eleve távol tartani a támadókat vagy gyorsan felfedezni őket, mielőtt kárt tudnának okozni. Használjon többrétegű védelmet a támadók blokkolására és felfedezésére a teljes hálózata minden pontján, ahol csak lehetséges!
- A hús-vér szakértők és a zsarolóvírus-elleni technológiák ötvözése. A zsarolóvírusok megállításának kulcsa a mélységi védelem, mely kombinálja a dedikált zsarolóvírus-ellenes technológiát és az emberek által vezetett fenyegetés-kutatást. A technológia biztosítja a szervezet számára szükséges mértéket és automatizációt, míg az emberi szakértők a legjobbak az árulkodó taktikák, technikák és procedúrák felfedezésében, amelyek azt jelzik, hogy egy támadó megpróbál bejutni a környezetbe. Ha a szervezetek nem rendelkeznek a megfelelő szakértelemmel házon belül, kiberbiztonsági specialisták támogatását is igénybe vehetik.
Mindennapi taktikai szinten:
Figyelje a riasztásokat és reagáljon rájuk! Bizonyosodjon meg arról, hogy a megfelelő eszközök, folyamatok és erőforrások (emberek) rendelkezésre állnak a környezetben észlelt fenyegetések megfigyelésére, kivizsgálására és lereagálására. A zsarolóvírus mögött álló ellenfelek gyakran a csúcsidőn kívül órákra időzítik támadásaikat, hétvégékre vagy ünnepi időszakokra, arra a feltételezésre alapozva, hogy kisebb személyzet figyeli a hálózatot, vagy éppen egyáltalán senki.
- Állítson be erős jelszavakat és biztosítsa a megfelelő használatukat! Az erős jelszavak a védelem egyik első vonalaként szolgálnak. A jelszavaknak egyedinek vagy komplexnek kell lennie és sohasem szabad őket újból felhasználni. Ezt könnyebb elérni egy jelszókezelővel, amely el tudja tárolni a személyzet hitelesítő adatait.
- Használjon többlépcsős hitelesítést (MFA-t)! Még az erős jelszavak is kompromittálódhatnak. A többlépcsős hitelesítés bármilyen formája jobb a semminél, amellyel biztosítani lehet a kritikus erőforrásokhoz való hozzáférést - ilyenek például az emailek, távoli menedzsment eszközök és hálózati eszközök.
- Zárja le a hozzáférhető szolgáltatásokat! Szkennelje a hálózatot kívülről, azonosítsa és zárja le azokat a portokat, amelyeket általában a VNC, RDP vagy más távoli hozzáféréses eszközök használnak! Ha egy gépnek elérhetőnek kell lennie egy távoli vezérlőeszközzel, helyezze az eszközt egy VPN vagy egy zero-trust hálózati hozzáféréses megoldás mögé, amely többlépcsős hitelesítést használ a bejelentkezés részeként.
- Gyakorolja a szegmentálást és a zero-trust elvet! Különítse el egymástól és a munkaállomásoktól a kritikus szervereket azzal, hogy különálló VLAN-okra helyezi őket, miközben a zero-trust hálózati modell kidolgozására törekszik.
- Készítsen offline biztonsági másolatokat az információkról és alkalmazásokról! Tartsa naprakészen a biztonsági mentéseket, bizonyosodjon meg a visszaállíthatóságukról és készítsen offline másolatot is!
- Vegye leltárba az eszközeit és fiókjait! Az ismeretlen, védtelen és javítások nélküli eszközök a hálózaton növelik a kockázatot és olyan helyzetet teremtenek, amely során az ártalmas tevékenységek észrevétlenek maradhatnak. Létfontosságú, hogy legyen egy aktuális leltár az összes hálózathoz kapcsolódó digitális eszközről. Használjon hálózati szkennereket, IaaS eszközöket és fizikai ellenőrzést a felkutatásukhoz és jegyzékbe vételükhöz, illetve telepítsen végponti biztonsági szoftvert az összes gépre, mely nem rendelkezik védelemmel!
- Bizonyosodjon meg arról, hogy a biztonsági eszközök megfelelő módon vannak konfigurálva! A nem megfelelően védett rendszerek és eszközök is sebezhetőek. Fontos megbizonyosodnia arról, hogy a biztonsági megoldásai megfelelően vannak konfigurálva és hogy ellenőrizze, illetve amikor szükséges, rendszeresen érvényesítse és frissítse a biztonsági házirendeket. Az új biztonsági funkciókat nem mindig aktiválják automatikusan. Ne kapcsolja ki az önvédelmi funkciókat és ne hozzon létre széleskörű észlelési kivételeket, mivel ezzel megkönnyíti a támadók dolgát.
- Auditálja az Active Directoryt (AD-t)! Hajtson végre rendszeres auditokat az AD összes fiókjáról, hogy megbizonyosodjon, egyik sem rendelkezik nagyobb hozzáférési körrel, mint ami szükséges a céljához. Tiltsa le a távozó alkalmazottak fiókjait, amint elhagyják a céget!
- Patcheljen mindent! Tartsa a Windowst és más operációs rendszereket, szoftvereket naprakészen. Ez azt is jelenti, hogy kétszeresen is ellenőrizze, megfelelően települtek e a javítások és hogy helyükön vannak e a kritikus rendszereken, mint például az internetről elérhető gépeken vagy domainvezérlőkön. Az itt bemutatott incidensben a szerver Adobe ColdFusion 9 szoftverének, valamit az alatta futó Windows 2008 operációs rendszernek a támogatását már leállította mindkét gyártó, ami azt jelenti, hogy nem kaptak szoftverfrissítéseket.
A Sophos endpoint termékei a Cring zsarolóvírus futtatható fájlját Troj/Ransom-GKG-ként észlelik, a Cobalt Strike beaconjeit pedig AMSI/Cobalt-A-ként. A beaconök betöltésére használt PowerShell parancsokat Troj/PS-IM néven kerülnek detektálásra.
