Как защитить данные от программ-шифровальщиков.

DEV-0537 Преступники нацеливаются на организации с целью кражи и уничтожения данных

В последние недели группы безопасности Microsoft активно отслеживали крупномасштабную кампанию социальной инженерии и вымогательства против нескольких организаций, обнаруживая некоторые признаки деструктивных элементов. Поскольку эта кампания ускорилась, команда специалистов по безопасности сосредоточилась на обнаружении, уведомлениях клиентов, брифингах по анализу угроз и обмене информацией с отраслевыми партнерами по сотрудничеству, чтобы понять тактику и цели злоумышленника. Со временем исследователи улучшили способность отслеживать действия Lapsus$ и помогли клиентам свести к минимуму влияние активных вторжений, а в некоторых случаях работали с пострадавшими организациями, чтобы остановить атаки до кражи данных или разрушительных действий.

Корпорация Майкрософт в своем блоге рассказала о тактике злоумышленников и эти знания могут быть полезны другим организациям для самозащиты от хакерских атак.

Наблюдаемая нами активность была приписана группе угроз, которую Microsoft отслеживает как DEV-0537, также известную как LAPSUS$. DEV-0537 известен тем, что использует модель чистого вымогательства и уничтожения без развертывания полезной нагрузки программ-вымогателей. DEV-0537 первоначально предназначался для организаций в Великобритании и Южной Америке, но расширился до глобальных целей, включая организации в государственном секторе, сфере технологий, телекоммуникаций, средств массовой информации, розничной торговли и здравоохранения. Также известно, что DEV-0537 захватывает отдельные учетные записи пользователей на биржах криптовалюты, чтобы истощать запасы криптовалюты.

В отличие от большинства активных групп, которые остаются незамеченными, DEV-0537, похоже, не заметает следы. Они заходят так далеко, что объявляют о своих атаках в социальных сетях или рекламируют свое намерение купить учетные данные у сотрудников целевых организаций. DEV-0537 также использует несколько тактик, которые реже используются другими субъектами угроз, отслеживаемыми Microsoft. Их тактика включает в себя социальную инженерию по телефону; Замена SIM-карты для облегчения захвата учетной записи; доступ к личным учетным записям электронной почты сотрудников целевых организаций; оплата сотрудникам, поставщикам или деловым партнерам целевых организаций за доступ к учетным данным и одобрение многофакторной аутентификации (MFA); и вмешиваться в текущие кризисные звонки своих целей.

Социальная инженерия и тактика, ориентированная на идентификацию, используемые DEV-0537, требуют процессов обнаружения и реагирования, которые аналогичны программам инсайдерского риска, но также включают короткие сроки реагирования, необходимые для борьбы с вредоносными внешними угрозами. В этом блоге мы собираем тактики, методы и процедуры (TTP), которые мы наблюдали при многочисленных атаках и компрометациях. Мы также предоставляем базовые стратегии и рекомендации по снижению рисков, чтобы помочь организациям усилить защиту своей организации от этого уникального сочетания профессиональных навыков.

Анализ

Субъекты, стоящие за DEV-0537, сосредоточили свои усилия по социальной инженерии на сборе информации о бизнес-операциях своей цели. Такая информация включает глубокие знания о сотрудниках, структурах команд, службах поддержки, рабочих процессах реагирования на кризисы и отношениях в цепочке поставок. Примеры этой тактики социальной инженерии включают спам-рассылку целевому пользователю запросов многофакторной аутентификации (MFA) и обращение в службу поддержки организации для сброса учетных данных цели.

Центр Microsoft Threat Intelligence Center (MSTIC) оценивает, что целью DEV-0537 является получение повышенного доступа с помощью украденных учетных данных, что делает возможным кражу данных и разрушительные атаки на целевую организацию, что часто приводит к вымогательству. Тактика и цели указывают на то, что это киберпреступник, мотивированный кражей и уничтожением.

Хотя TTP и инфраструктура этого актора постоянно меняются и развиваются, в следующих разделах приводятся дополнительные сведения об очень разнообразном наборе TTP, который, по нашим наблюдениям, использует DEV-0537.

Начальный доступ

DEV-0537 использует различные методы, которые обычно направлены на компрометацию личности пользователя для получения первоначального доступа к организации, в том числе:

• Развертывание вредоносного похитителя паролей Redline для получения паролей и токенов сеанса
• Покупка учетных данных и сессионных токенов на криминальных подпольных форумах
• Оплата сотрудникам целевых организаций (или поставщиков/деловых партнеров) за доступ к учетным данным и одобрение MFA
• Поиск общедоступных репозиториев кода для открытых учетных данных

Используя скомпрометированные учетные данные и/или токены сеанса, DEV-0537 получает доступ к системам и приложениям, подключенным к Интернету. Эти системы чаще всего включают в себя виртуальную частную сеть (VPN), протокол удаленного рабочего стола (RDP), инфраструктуру виртуальных рабочих столов (VDI), включая Citrix, или поставщиков удостоверений (включая Azure Active Directory, Okta). Для организаций, использующих безопасность MFA, DEV-0537 использовал два основных метода для удовлетворения требований MFA — повтор маркера сеанса и использование украденных паролей для запуска запросов MFA с простым подтверждением в надежде, что законный пользователь скомпрометированной учетной записи в конечном итоге согласится на запросы и предоставит необходимые одобрение.

В некоторых случаях DEV-0537 сначала нацеливался и скомпрометировал личные или частные (не связанные с работой) учетные записи человека, предоставляя им доступ, а затем искал дополнительные учетные данные, которые можно было бы использовать для получения доступа к корпоративным системам. Учитывая, что сотрудники обычно используют эти личные учетные записи или номера в качестве двухфакторной аутентификации или восстановления пароля, группа часто использует этот доступ для сброса паролей и выполнения действий по восстановлению учетной записи.

Microsoft также обнаружила случаи, когда группа успешно получала доступ к целевым организациям через нанятых сотрудников (или сотрудников своих поставщиков или деловых партнеров). DEV-0537 объявил, что хочет купить учетные данные для своих целей, чтобы побудить сотрудников или подрядчиков принять участие в его операции. За определенную плату желающий сообщник должен предоставить свои учетные данные и одобрить приглашение MFA или попросить пользователя установить AnyDesk или другое программное обеспечение для удаленного управления на корпоративную рабочую станцию, позволяющую субъекту получить контроль над аутентифицированной системой. Такая тактика была лишь одним из способов, которыми DEV-0537 воспользовался безопасным доступом и деловыми отношениями, которые их целевые организации установили со своими поставщиками услуг и цепочками поставок.

Скриншот объявления о наборе сотрудников для предоставления доступа к сети своего работодателя

В другом наблюдаемом действии субъекты DEV-0537 выполнили атаку с подменой SIM-карты, чтобы получить доступ к номеру телефона пользователя перед входом в корпоративную сеть. Этот метод позволяет субъектам обрабатывать запросы аутентификации по телефону, необходимые им для получения доступа к цели.

После получения стандартных учетных данных пользователя или доступа DEV-0537 обычно подключал систему к VPN организации. В некоторых случаях, чтобы соответствовать требованиям условного доступа, DEV-0537 зарегистрировал или присоединил систему к Azure Active Directory организации (Azure AD).

Разведка и повышение привилегий

Как только DEV-0537 получил доступ к целевой сети с использованием скомпрометированной учетной записи, они использовали несколько тактик для обнаружения дополнительных учетных данных или точек вторжения для расширения своего доступа, включая:

• Эксплуатация незакрытых уязвимостей на серверах с внутренним доступом, включая JIRA, Gitlab и Confluence.
• Поиск в репозиториях кода и платформах для совместной работы открытых учетных данных и секретов.

Было замечено, что они постоянно используют AD Explorer, общедоступный инструмент, для перечисления всех пользователей и групп в указанной сети. Это позволяет им понять, какие учетные записи могут иметь более высокие привилегии. Затем они приступили к поиску платформ для совместной работы, таких как SharePoint или Confluence, решений для отслеживания проблем, таких как JIRA, репозиториев кода, таких как GitLab и GitHub, и каналов совместной работы организаций, таких как Teams или Slack, чтобы обнаружить дополнительные учетные данные с высоким уровнем привилегий для доступа к другой конфиденциальной информации.

Также известно, что DEV-0537 использует уязвимости в Confluence, JIRA и GitLab для повышения привилегий. Группа скомпрометировала серверы, на которых запущены эти приложения, чтобы получить учетные данные привилегированной учетной записи или запустить в контексте указанной учетной записи и сбросить оттуда учетные данные. Группа использовала атаки DCSync и Mimikatz для выполнения процедур повышения привилегий. После получения доступа администратора домена или его эквивалента группа использовала встроенную утилиту ntdsutil для извлечения базы данных AD.

В некоторых случаях DEV-0537 даже звонил в службу поддержки организации и пытался убедить персонал службы поддержки сбросить учетные данные привилегированной учетной записи. Группа использовала ранее собранную информацию (например, фотографии профиля) и попросила абонента, говорящего по-английски, поговорить с персоналом службы поддержки, чтобы усилить приманку социальной инженерии. Наблюдаемые действия включали ответы DEV-0537 на распространенные запросы восстановления, такие как «первая улица, на которой вы жили» или «девичья фамилия матери», чтобы убедить персонал службы поддержки в подлинности. Поскольку многие организации передают поддержку своей службы поддержки на аутсорсинг, эта тактика пытается использовать эти отношения в цепочке поставок, особенно когда организации предоставляют своим сотрудникам службы поддержки возможность повышать привилегии.

Эксфильтрация, уничтожение и вымогательство

По нашим наблюдениям, у DEV-0537 есть выделенная инфраструктура, которую они используют у известных провайдеров виртуальных частных серверов (VPS) и используют NordVPN для своих точек выхода. DEV-0537 знает о таких обнаружениях, как невозможность перемещения, и поэтому выбирает точки выхода VPN, которые географически совпадают с их целями. Затем DEV-0537 загрузил конфиденциальные данные из целевой организации для будущего вымогательства или публичного выпуска в систему, присоединенную к VPN организации и/или системе, присоединенной к Azure AD.

Было замечено, что DEV-0537 использует доступ к облачным ресурсам для создания новых виртуальных машин в облачной среде цели, которую они используют в качестве контролируемой субъектом инфраструктуры для выполнения дальнейших атак в целевой организации.

Если они успешно получают привилегированный доступ к облачному арендатору организации (либо AWS, либо Azure), DEV-0537 создает глобальные учетные записи администратора в облачных экземплярах организации, устанавливаетОфис 365Правило почтового транспорта на уровне арендатора для отправки всей почты в организацию и из нее во вновь созданную учетную запись, а затем удаляет все другие учетные записи глобального администратора, поэтому только действующее лицо имеет единоличный контроль над облачными ресурсами, эффективно блокируя доступ к организации. . После эксфильтрации DEV-0537 часто удаляет системы и ресурсы цели. Мы наблюдали удаление ресурсов как в локальной среде (например, VMWare vSphere/ESX), так и в облаке, чтобы инициировать процесс реагирования организации на инциденты и кризисы.

Затем было замечено, что действующее лицо присоединялось к звонкам по кризисной коммуникации и внутренним дискуссионным форумам организации (Slack, Teams, конференц-звонки и другие), чтобы понять рабочий процесс реагирования на инциденты и их соответствующий ответ. Предполагается, что это позволяет DEV-0537 понять душевное состояние жертвы, ее осведомленность о вторжении и место для предъявления требований о вымогательстве. В частности, было замечено, что DEV-0537 подключается к мостам реагирования на инциденты внутри целевых организаций, реагирующих на деструктивные действия. В некоторых случаях DEV-0537 вымогал у жертв вымогательство, чтобы предотвратить публикацию украденных данных, а в других попытках вымогательства не предпринималось, и DEV-0537 публично сливал украденные данные.

Влияние

Ранние наблюдаемые атаки DEV-0537 нацелены на учетные записи криптовалюты, что приводит к компрометации и краже кошельков и средств. По мере расширения атак злоумышленники начали нацеливаться на телекоммуникации, высшее образование и правительственные организации в Южной Америке. Более поздние кампании расширились за счет включения организаций по всему миру, охватывающих различные сектора. Основываясь на наблюдаемой деятельности, эта группа понимает взаимосвязанный характер удостоверений и доверительных отношений в современных технологических экосистемах и нацелена на телекоммуникации, технологии, ИТ-услуги и компании поддержки, чтобы использовать их доступ из одной организации для доступа к организациям-партнерам или поставщикам. Они также были замечены в отношении государственных учреждений, производства, высшего образования, энергетики, розничной торговли и здравоохранения.

Microsoft продолжит отслеживать активность DEV-0537 и внедрять средства защиты для наших клиентов. Текущие обнаружения и расширенные обнаружения, используемые в наших продуктах безопасности, подробно описаны в следующих разделах.

Действия субъектов, нацеленные на Microsoft

На этой неделе актер сделал публичные заявления о том, что они получили доступ к Microsoft и эксфильтровали части исходного кода. В наблюдаемых действиях не участвовал ни код клиента, ни данные. Наше расследование показало, что одна учетная запись была скомпрометирована, что предоставило ограниченный доступ. Наши группы реагирования на кибербезопасность быстро приступили к исправлению скомпрометированной учетной записи и предотвращению дальнейших действий. Microsoft не полагается на секретность кода как на меру безопасности, а просмотр исходного кода не ведет к повышению риска. Тактика DEV-0537, использованная при этом вторжении, отражает тактику и приемы, обсуждаемые в этом блоге. Наша команда уже расследовала скомпрометированную учетную запись на основе информации об угрозах, когда злоумышленник публично сообщил о своем вторжении.

Рекомендации

Улучшить реализацию MFA

Многофакторная аутентификация (MFA) — одна из основных линий защиты от DEV-0537. Несмотря на то, что эта группа пытается выявить пробелы в многофакторной аутентификации, она остается важнейшей опорой в обеспечении безопасности удостоверений как для сотрудников, поставщиков, так и для другого персонала. См. следующие рекомендации для более безопасной реализации MFA:

Делать:

• Требовать Multifactor Authenticator для всех пользователей из любых мест, включая предполагаемые доверенные среды и всю инфраструктуру с выходом в Интернет, даже из локальных систем.
• Используйте более безопасные реализации, такие как токены FIDO или Microsoft Authenticator ссопоставление номеров Избегайте методов многофакторной идентификации на основе телефонии, чтобы избежать рисков, связанных с кражи SIM-карты. .
• Используйте защиту паролей Azure AD , чтобы пользователи не использовали легко угадываемые пароли. В нашем блоге об атаках с использованием распыления паролей приведены дополнительные рекомендации.
• Используйте методы проверки подлинности без пароля, такие как Windows Hello для бизнеса, Microsoft Authenticator или токены FIDO, чтобы снизить риски и проблемы с взаимодействием с пользователем, связанные с паролями.

Не делайте:

• Используйте слабые факторы MFA, такие как текстовые сообщения (подверженные подмене SIM-карты), простые голосовые подтверждения, простые push-уведомления (вместо этого используйте сопоставление номеров ) или дополнительные адреса электронной почты.
• Включите исключения на основе местоположения. Исключения MFA позволяют субъекту с одним фактором для набора удостоверений обойти требования MFA, если они могут полностью скомпрометировать одно удостоверение.
• Разрешить совместное использование учетных данных или факторов MFA между пользователями.

Требуются работоспособные и надежные конечные точки

• Требуйте  надежных, совместимых и работоспособных устройств  для доступа к ресурсам, чтобы предотвратить кражу данных.
• Включите облачную защиту в Microsoft Defender Antivirus, чтобы охватить быстро развивающиеся инструменты и методы злоумышленников, заблокировать новые и неизвестные варианты вредоносных программ, а также улучшить правила сокращения направлений атаки и защиту от несанкционированного доступа.

Используйте современные варианты аутентификации для VPN

Проверка подлинности VPN должна использовать современные варианты проверки подлинности, такие как OAuth или SAML, подключенные к Azure AD, чтобы обеспечить обнаружение входа на основе рисков. Современная проверка подлинности позволяет блокировать попытки проверки подлинности на основе риска входа, требует для входа совместимых устройств и обеспечивает более тесную интеграцию со стеком проверки подлинности для обеспечения более точного обнаружения рисков. Было показано, что внедрение современной политики проверки подлинности и строгого условного доступа в VPN эффективно против тактики доступа DEV-0537.

Укрепляйте и контролируйте состояние вашей облачной безопасности

DEV-0537 использует законные учетные данные для выполнения вредоносных действий против клиентов. Поскольку эти учетные данные являются законными, некоторые выполняемые действия могут показаться соответствующими стандартному поведению пользователя. Используйте следующие рекомендации, чтобы улучшить состояние безопасности в облаке:

• Просмотрите настройки пользователя условного доступа и риска сеанса :Блокировка или принудительный сброс пароля для всех пользователей с высоким/средним риском
  Блокировать входы в систему с высоким риском входа для всех пользователей
  Блокировать вход со средним риском для привилегированных пользователей
  Требовать MFA для входа в систему со средним риском для всех остальных пользователей
  
• Оповещения должны быть настроены таким образом, чтобы запрашивать проверку изменения конфигурации арендатора с высоким риском , включая, помимо прочего:Изменение ролей Azure AD и привилегированных пользователей, связанных с этими ролями.
  Создание или изменение правил транспорта Exchange Online
  Изменение конфигураций безопасности на уровне арендатора
  
• Просмотр  обнаружений рисков в Azure AD Identity ProtectionОбнаружение рисков выделяет рискованных пользователей и рискованные входы в систему
  Администраторы могут просматривать и подтверждать отдельные входы, перечисленные здесь, как скомпрометированные или безопасные.
  Дополнительные сведения о том, как  исследовать риск Azure AD Identity Protection , доступны здесь.

Использование Azure AD Identity Protection для анализа обнаружения рисков

Повышение осведомленности об атаках социальной инженерии

Корпорация Майкрософт рекомендует повышать и улучшать осведомленность о тактике социальной инженерии для защиты вашей организации. Научите членов вашей технической группы следить за любыми необычными контактами с коллегами и сообщать о них. Службы ИТ-поддержки должны проявлять повышенную бдительность в отношении подозрительных пользователей и обеспечивать их отслеживание и немедленное сообщение о них. Мы рекомендуем ознакомиться с политиками службы поддержки по сбросу паролей для пользователей с высоким уровнем привилегий и руководителей, чтобы учесть социальную инженерию.

Внедрите культуру осведомленности о безопасности в своей организации, обучая сотрудников методам проверки службы поддержки. Поощряйте их сообщать о подозрительных или необычных контактах со службой поддержки. Образование является защитой номер один от атак социальной инженерии, таких как эта, и важно убедиться, что все сотрудники осведомлены о рисках и известных тактиках.

Установить оперативные процессы безопасности в ответ на вторжения DEV-0537

Известно, что DEV-0537 отслеживает сообщения об инцидентах и ​​вмешивается в них. Таким образом, эти каналы связи должны тщательно контролироваться на предмет неавторизованных посетителей, а проверка посетителей должна выполняться визуально или слышимо.

Мы советуем организациям следовать очень строгим методам оперативной безопасности при реагировании на вторжение, предположительное DEV-0537. Организации должны разработать план внеполосной связи для специалистов по реагированию на инциденты, который можно использовать в течение нескольких дней, пока идет расследование. Документация по этому плану реагирования должна храниться в тайне и быть труднодоступной.

Microsoft продолжает отслеживать действия, тактику, вредоносное ПО и инструменты DEV-0537. Мы будем сообщать о любых дополнительных сведениях и рекомендациях по мере расследования их действий против наших клиентов.