Ποτέ μην υποτιμάτε τη συνέχεια μιας επίθεσης

Τον Φεβρουάριο του 2024, η Επιχείρηση Cronos, ένας συνασπισμός διεθνών υπηρεσιών επιβολής του νόμου με επικεφαλής την Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου και το FBI των ΗΠΑ, κατέλαβε τον έλεγχο της υποδομής επίθεσης της διαβόητης συμμορίας ransomware Lockbit, που θεωρείται η «πιο επιβλαβής ομάδα στον κυβερνοχώρο». Ένας αναστεναγμός ανακούφισης αντήχησε σε όλη την κοινότητα του

infosec

, με πολλούς να πιστεύουν ότι αυτό σήμανε το τέλος ενός συνεχιζόμενου εφιάλτη. Ωστόσο, η πραγματικότητα αποδείχτηκε διαφορετική: λιγότερο από μια εβδομάδα αργότερα, ο χειριστής ransomware-as-a-service επέστρεψε στο διαδίκτυο με έναν νέο ιστότοπο διαρροής, που απαριθμούσε πέντε θύματα και χρονόμετρα αντίστροφης μέτρησης για τις δημοσιεύσεις των κλεμμένων πληροφοριών.

Αυτή η αναζωπύρωση δεν είναι άτυπη. Αυτές οι ομάδες απειλών αναπτύσσουν όλο και περισσότερο μια προηγμένη υποδομή επίθεσης και ολοκληρωμένα αντίγραφα ασφαλείας που τους επιτρέπουν να επιστρέψουν στις επιχειρήσεις. Θα αναφέρω τρία πρόσφατα παραδείγματα που καταδεικνύουν την ανθεκτικότητα αυτών των ομάδων στις παρεμβάσεις επιβολής του νόμου.

Η ανθεκτικότητα του Lockbit

Κατά ειρωνικό τρόπο, για να κατακτήσουν τον ιστότοπο LockBit, οι υπηρεσίες επιβολής του νόμου εκμεταλλεύτηκαν το CVE-2023-3824, μια ευπάθεια που επηρεάζει την PHP – η οποία αντικατόπτριζε έναν από τους κύριους φορείς επίθεσης που χρησιμοποιούνται από την ομάδα LockBit, συγκεκριμένα την εκμετάλλευση των τρωτών σημείων. Σύμφωνα με τον ηθοποιό απειλών, η «προσωπική αμέλεια και ανευθυνότητα» οδήγησε σε

καθυστέρηση

στην εφαρμογή του ενημερωτικού κώδικα και κατέστησε δυνατή την εξαγορά. Και όμως, η άμεση επιστροφή του LockBit διευκολύνθηκε από τη διαθεσιμότητα αντιγράφων ασφαλείας – μια βασική βέλτιστη πρακτική για κάθε οργανισμό. Μετά την κατάργηση, το LockBit επιβεβαίωσε την παραβίαση, αλλά ισχυρίστηκε επίσης ότι έχασαν μόνο διακομιστές που εκτελούσαν PHP, ενώ τα συστήματα δημιουργίας αντιγράφων ασφαλείας χωρίς PHP παρέμειναν άθικτα.

Πριν από τη σύντομη κατάργηση, το LockBit ήταν μια από τις σημαντικότερες απειλές για τον χρηματοπιστωτικό τομέα. Όπως ήταν αναμενόμενο, οι επιθέσεις που πραγματοποιήθηκαν μέσω του ransomware LockBit και των παραλλαγών του συνεχίστηκαν καθ’ όλη τη διάρκεια του 2024, ακόμη και μετά την εξαγορά. Αυτή η επιμονή οφειλόταν εν μέρει σε μια άλλη πολύ συνηθισμένη επιπλοκή στο τοπίο των απειλών: ο πηγαίος κώδικας του δημιουργού κακόβουλου λογισμικού είχε ήδη διαρρεύσει στο διαδίκτυο από έναν θυμωμένο προγραμματιστή, δημιουργώντας πολλές παραλλαγές που συνεχίζουν να μαστίζουν τις επιχειρήσεις παγκοσμίως, τροφοδοτούμενοι από τη συνεχή εκμετάλλευση τρωτών σημείων.

Η ύπαρξη εφεδρικών αντιγράφων δείχνει ότι οι επιτιθέμενοι έχτισαν μια ανθεκτική υποδομή με σχέδιο έκτακτης ανάγκης, προβλέποντας την πιθανότητα ανάληψης. Στον πυρήνα του, το έγκλημα στον κυβερνοχώρο είναι μια επιχείρηση, επομένως οι φορείς απειλών υιοθετούν βέλτιστες πρακτικές που πρέπει να ακολουθεί κάθε επιχείρηση, δημιουργώντας ισχυρές υποδομές για να διασφαλίζεται η προστασία από διακοπές λειτουργίας ή ανατρεπτικά γεγονότα, όπως η κατάργηση από την επιβολή του νόμου. Αυτό χρησιμεύει ως ένα σημαντικό σήμα αφύπνισης, υπενθυμίζοντάς μας ότι ακόμη και αν οι υπηρεσίες επιβολής του νόμου διαλύσουν μια εγκληματική υποδομή, η επιχείρηση μπορεί να μην έχει χαθεί οριστικά.

Έξοδος BlackCat

Μια δεύτερη επίδειξη της ανθεκτικότητας της κακόβουλης υποδομής είναι ένα ανάλογο γεγονός που περιλαμβάνει μια διαφορετική λειτουργία ransomware. Τον Δεκέμβριο του 2023, οι υπηρεσίες επιβολής του νόμου υπό την ηγεσία του FBI των ΗΠΑ – και με τη συμμετοχή υπηρεσιών από το Ηνωμένο Βασίλειο, τη Δανία, τη Γερμανία, την Ισπανία και την Αυστραλία – κατέλαβαν την υποδομή BlackCat/ALPHV. Ωστόσο, δύο μήνες αργότερα, η ομάδα ransomware επανεμφανίστηκε απροσδόκητα, αναλαμβάνοντας την ευθύνη για αρκετές επιθέσεις υψηλού προφίλ στον χρηματοοικονομικό τομέα και στον τομέα της υγείας.

Μια ενδιαφέρουσα ανατροπή σε αυτή την επιστροφή περιλάμβανε την επίθεση κατά της Change Healthcare, η οποία έληξε με την

οργάνωση

-θύμα να πληρώνει λύτρα 22 εκατομμυρίων δολαρίων σε Bitcoin. Δύο ημέρες μετά την πληρωμή, εμφανίστηκαν κατηγορίες ότι η επιχείρηση ransomware είχε εξαπατήσει άλλους συνεργάτες από το μερίδιο της επιδότησης και τέσσερις ημέρες μετά την πληρωμή (δύο ημέρες μετά τις κατηγορίες), το FBI και άλλες υπηρεσίες επιβολής του νόμου φάνηκε να έχουν κατέλαβε ξανά το σημείο διαρροής.

Ωστόσο, οι υπηρεσίες επιβολής του νόμου αρνήθηκαν οποιαδήποτε ανάμειξη σε αυτόν τον δεύτερο τερματισμό λειτουργίας και σε αυτήν την πτυχή, σε συνδυασμό με το γεγονός ότι η σελίδα που εμφανίστηκε στον ιστότοπο διαρροής μετά το δεύτερο προφανές κλείσιμο έμοιαζε με αντίγραφο της αρχικής από την εξαγορά του Δεκεμβρίου 2023, οδήγησαν ειδικούς να υποθέσουμε ότι οι ηθοποιοί απειλών μπορεί να έχουν εκτελέσει μια στρατηγική εξόδου: χαρούμενοι που φεύγουν από τη σκηνή με 22 εκατομμύρια δολάρια στις τσέπες τους, διακόπτουν τους δεσμούς τους με τις θυγατρικές τους και πουλώντας πιθανώς τον πηγαίο κώδικα ransomware ως υπηρεσία για 5 εκατομμύρια δολάρια – κάτι συνηθισμένο πρακτική που υιοθετήθηκε πρόσφατα από το ransomware Knight 3.0. Αυτά τα στοιχεία υποδηλώνουν ότι η εμφάνιση παραλλαγών θα επεκτείνει τον κύκλο ζωής αυτού του κακόβουλου λογισμικού πολύ πέρα ​​από τον τερματισμό της αρχικής λειτουργίας.

Ο τρόπος με τον οποίο φαίνεται να τελείωσε αυτή η ιστορία υποδηλώνει ότι όχι μόνο οι οργανωμένες εγκληματικές επιχειρήσεις είναι ανθεκτικές και συχνά ικανές να επιβιώσουν από τις προσπάθειες κατάργησης από τις υπηρεσίες επιβολής του νόμου, αλλά και ότι οι παράγοντες απειλών μπορεί να αποφασίσουν να εγκαταλείψουν τη σκηνή οικειοθελώς. Μπορεί να το κάνουν είτε επειδή πιστεύουν ότι έχουν επιτύχει τους επικερδείς στόχους τους είτε επειδή θεωρούν ότι οι συνθήκες της αγοράς δεν είναι πλέον ευνοϊκές. Στην περίπτωση του BlackCat/ALPHV, πιστεύεται ότι η διακύμανση της τιμής του Bitcoin, ή ακόμη και μια πιθανή μετατόπιση της εστίασης σε άλλους στόχους, όπως η Ουκρανία (δεδομένου ότι οι παράγοντες της απειλής είναι ρωσικής καταγωγής) μπορεί να επηρέασαν την απόφασή τους για να τερματίσετε τη λειτουργία.

Επιβολή του νόμου

Οι επισ

τροφές

κακόβουλων λειτουργιών μετά από προσπάθειες τερματισμού λειτουργίας από τις αρχές επιβολής του νόμου δεν περιορίζονται σε λειτουργίες ransomware. Ένα τρίτο αξιοσημείωτο παράδειγμα είναι η βραχύβια κατάργηση του διαβόητου Qakbot botnet μέσω της Operation Duck Hunt, που πραγματοποιήθηκε από το FBI και τους συνεργάτες του το 2023. Το Qakbot είναι ένα από τα πιο ευέλικτα όπλα για τους παράγοντες απειλών λόγω της αρθρωτής φύσης του, που το επιτρέπει να διανείμει πολλαπλά κακόβουλα ωφέλιμα φορτία, συμπεριλαμβανομένων διαφόρων στελεχών ransomware, με αποτέλεσμα ζημιές εκατοντάδων εκατομμυρίων δολαρίων. Όπως ήταν αναμενόμενο, αυτή η φαινομενική νίκη ήταν βραχύβια. Μόλις δύο μήνες μετά την επιχείρηση επιβολής του νόμου, οι παράγοντες της απειλής επανεφόδισαν γρήγορα την κακόβουλη υποδομή τους για να διανείμουν πρόσθετα ωφέλιμα φορτία.

Εντοπίστηκαν περισσότερες καμπάνιες Qakbot, με νέες παραλλαγές με βελτιώσεις κακόβουλου λογισμικού. Αυτές οι καμπάνιες περιελάμβαναν τη διανομή εργαλείων απομακρυσμένης πρόσβασης Cyclops και Remcos τον Οκτώβριο του 2023 μέσω κακόβουλων εγγράφων PDF στον τομέα της φιλοξενίας υπό το πρόσχημα των πλαστών επικοινωνιών IRS, καθώς και ενός πλαστού προγράμματος εγκατάστασης των Windows τον Ιανουάριο του 2024. Σύμφωνα με το Netskope Threat Labs, το Qakbot ήταν ένα από οι κύριες απειλές που στοχεύουν τον τομέα λιανικής μεταξύ Μαρτίου 2023 και Φεβρουαρίου 2024, επιδεικνύοντας την ανθεκτικότητα και την ευελιξία μιας υποδομής επίθεσης.

Παραμένοντας σε εγρήγορση

Το έγκλημα στον κυβερνοχώρο είναι πλέον μεγάλη επιχείρηση, με τους εισβολείς να διαθέτουν τεράστιους πόρους για να δημιουργήσουν ολοένα και πιο διάχυτες και ανθεκτικές απειλές.

Για

την καταπολέμηση αυτών των περίπλοκων επιθέσεων, οι οργανισμοί πρέπει να υιοθετήσουν μια ολοκληρωμένη στρατηγική ασφάλειας που να είναι συνεχής, διάχυτη και ανθεκτική. Αυτό περιλαμβάνει την εφαρμογή πολυεπίπεδης άμυνας, συνεχή παρακολούθηση, ανίχνευση απειλών σε πραγματικό χρόνο και τακτικές αξιολογήσεις ασφαλείας.

Επιπλέον, θα ήταν συνετό να ακολουθήσουμε το παράδειγμα και τα διδάγματα αυτών των ανθεκτικών παραγόντων απειλών, καλλιεργώντας μια κουλτούρα ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο, διατηρώντας ενημερωμένα συστήματα και έχοντας ισχυρά σχέδια αντιμετώπισης συμβάντων και αποκατάστασης καταστροφών. Η εξάλειψη όλων των τυφλών σημείων στον κυβερνοχώρο είναι ζωτικής σημασίας, καθώς ακόμη και μικρές ευπάθειες μπορούν να οδηγήσουν σε σημαντικές παραβιάσεις. Οι οργανισμοί πρέπει να είναι προετοιμασμένοι να αμυνθούν από κάθε είδους απειλές και ομάδες επιθέσεων.

Διαθέτουμε το καλύτερο λογισμικό προστασίας από ιούς cloud.

Αυτό το άρθρο δημιουργήθηκε ως μέρος του καναλιού Expert Insights της TechRadarPro, όπου παρουσιάζουμε τα καλύτερα και πιο έξυπνα μυαλά στον κλάδο της τεχνολογίας σήμερα. Οι απόψεις που εκφράζονται εδώ είναι αυτές του συγγραφέα και δεν είναι απαραίτητα αυτές της TechRadarPro ή της Future plc. Αν ενδιαφέρεστε να συνεισφέρετε, μάθετε περισσότερα εδώ:


https://www.techradar.com/news/submit-your-story-to-techradar-pro