Это могло остаться незамеченным. Но на смену им пришли профессионалы и запустили атаки программ-вымогателей.
Анализ инцидента в одном региональном правительственном учреждении США, название которого не указывается, проведенный исследователями кибербезопасности из Sophos, показал, что злоумышленники-любители оставили множество признаков того, что они находились в сети, однако ИТ-отдел этого не заметил.
Первоначально хакеры-новички проникли в сеть, используя один из самых популярных методов киберпреступников, — взлом пароля доступного Интернет-протокола удаленного рабочего стола Windows (RDP) на брандмауэре. Неясно, как был взломан сам пароль, возможно с помощью фишингового электронного письма, пишет ZDNet.
Им также повезло, потому что скомпрометированная учетная запись RDP была не только локальным администратором на сервере, но также имела права администратора домена, что позволяло использовать эту учетную запись для создания учетных записей администратора на других серверах и рабочих столах.
Похоже злоумышленники не поняли, что со всем этим богатством делать. Анализ журналов активности показал, что они использовали контролируемые серверы внутри сети для поиска в Google инструментов взлома и загрузки рекламы. Исследователи говорят, что это привело к тому, что сервер был пронизан рекламным ПО, при этом хакеры непреднамеренно заразили серверы вредоносным ПО. Но всего этого организация-жертва не заметила.
Данные журналов показывают, что злоумышленники регулярно исчезали на несколько дней, прежде чем вернуться, чтобы осмотреть сеть, время от времени создавая новые учетные записи, чтобы получить доступ к другим машинам. На протяжении нескольких месяцев они устанавливали вредоносное ПО для крипто майнинга на скомпрометированные серверы.
Но через четыре месяца внезапно атаки стали более целенаправленными и изощренными. Поэтому напрашивается вывод, что на смену любителям пришли профессионалы. После трехнедельного перерыва злоумышленники удаленно подключились и установили инструмент для перехвата паролей Mimikatz, чтобы получить доступ к дополнительным учётным записям пользователей и паролям. Новые хакеры также постарались удалить ранее установленный майнер монет и пытались удалить антивирусное программное обеспечение на конечных точках.
Эндрю Брандт, главный исследователь безопасности в Sophos считает, что резкое изменение как целей, так и уровня мастерства свидетельствует о том, что к атаке подключилась другая команда.
Именно в этот момент ИТ-отдел заметил, что происходит что-то странное, отключив серверы для расследования. Также были отключены некоторые средства защиты кибербезопасности, чем сразу воспользовались злоумышленники. Они неоднократно сбрасывали учетные записи и создавали новые, чтобы продолжить свои атаки. Журналы также неоднократно стирались, что могло быть попыткой замести следы.
Профессиональные хакеры также украли набор конфиденциальных файлов и полностью зашифровали некоторые машины в сети с помощью программы-вымогателя LockBit. К счастью атака затронула не все машины, и ИТ-отдел с помощью аналитиков Sophos смог очистить и восстановить службы.
«Отключение таких функций, как защита от несанкционированного доступа в программном обеспечении для обеспечения безопасности конечных точек, стала критическим рычагом, необходимым злоумышленникам для полного снятия защиты и беспрепятственного выполнения своей работы», — говорится в блоге исследователей.
Применение многофакторной аутентификации к учетным записям пользователей помогло бы предотвратить их использование, а уведомления о входе в систему давали бы предупреждение о том, что происходит что-то подозрительное.
Между тем, надлежащий мониторинг сети показал бы, что существует проблема, когда пришли хакеры-любители, и, конечно же, до того, как хакеры-профессионалы запустили атаки программ-вымогателей.
«Необходимо следить за своей сетью, будь то собственными силами или через надежного партнера. Следить за небольшими странностями или инцидентами — даже такими простыми, как вход в систему в неурочное время или из необычного места. Все может иметь значение», – сказал Брандт.