Двенадцать американских компаний, пострадавших от действий группы-вымогателя INC, смогли восстановить зашифрованные данные после того, как фирма по кибербезопасности обнаружила инфраструктуру облачного хранилища, где банда складировала украденное.
Исследователи из базирующейся во Флориде компании Cyber Centaurs сообщили в четверг, что они воспользовались провалом в операционной безопасности банды: они обнаружили артефакты, оставленные Restic — легитимной утилитой резервного копирования с открытым исходным кодом, которую банда использует для шифрования и эксфильтрации данных жертв в контролируемые ею облачные хранилища. Предположение о том, что банда регулярно повторно использует инфраструктуру на базе Restic, привело к обнаружению неназванного поставщика облачных услуг, куда были сброшены похищенные данные.
К сожалению, Эндрю фон Рамин Мапп, управляющий партнер Cyber Centaurs, признает, что работа его фирмы, вероятно, стала не более чем «неудобством» для банды, поскольку та может легко арендовать новую облачную инфраструктуру.
Однако он отметил, что их усилия преподносят уроки для руководителей по безопасности (CSO) и лидеров в области информационной безопасности:
- тщательно проверяйте и проводите аудит своих резервных копий. Если у вас есть регулярный график резервного копирования, наблюдается ли неожиданная или необъяснимая активность? Фон Рамин Мапп отмечает, что преступникам известно о синхронизации эксфильтрации данных с корпоративными резервными копиями вне офиса как способе скрыть свою работу;
- отслеживайте выход зашифрованных данных из ваших сред и смотрите, куда они направляются. Уходят ли эти данные на неожиданный IP-адрес?
- убедитесь, что программное обеспечение и серверы для резервного копирования обновляются сразу после выпуска патчей. Преступники пользуются неустановленными исправлениями для любого программного обеспечения, включая приложения для бэкапа.
«Вероятно, очень немногие» лидеры в сфере ИБ осознают, что их собственное программное обеспечение для резервного копирования используется против них, — сказал фон Рамин Мапп.
По данным Trend Micro, банда INC появилась в июле 2023 года. Версия их вымогательского бинарного файла для Linux была замечена пять месяцев спустя. Распространенной тактикой на ранних этапах было использование уязвимостей в Citrix Netscaler ADC и Netscaler Gateway, а исследователи Check Point Software также утверждают, что банда использует целевые фишинговые кампании для получения учетных данных пользователей. По данным Cyber Centaurs, в небольших или более плоских сетях операторы INC часто полагаются на Restic для эксфильтрации данных перед шифрованием; в более крупных или сложных средах банда предпочитает использовать уже существующую инфраструктуру резервного копирования, например, Veeam.
Cyber Centaurs была вызвана, когда программное обеспечение для обнаружения конечных точек и реагирования одного из клиентов в США уведомило об активном выполнении вымогателя на производственном SQL-сервере. Процесс был оперативно изолирован, и было обнаружено, что это вариант RainINC.
Однако при более глубоком изучении следователи обнаружили, что несколько систем содержали следы Restic, включая переименованные бинарные файлы, сценарии PowerShell, подготавливающие выполнение Restic к инфраструктуре облачного хранилища в стиле S3, переменные конфигурации репозитория и команды резервного копирования на основе списков файлов.
Хотя Restic не использовался для эксфильтрации в этой конкретной атаке, Cyber Centaurs подозревала, что банда регулярно его применяла, основываясь на паттернах, замеченных в других инцидентах. Компания также подозревала, что инфраструктура, используемая преступниками, вряд ли будет демонтирована даже после завершения переговоров или выплаты выкупа корпоративными жертвами.
С учетом этого, команда реагирования на инциденты разработала собственный скрипт перечисления для выявления определенных шаблонов, идентифицирующих инфраструктуру облачных хранилищ в стиле S3, куда могли направляться похищенные данные. Скрипт просматривал отобранный список идентификаторов репозиториев, полученных из ранее наблюдавшихся артефактов Restic. Для каждого кандидата были установлены переменные среды, соответствующие стилю конфигурации, используемому злоумышленником, включая конечную точку репозитория и пароль шифрования. Затем Restic было предписано перечислить доступные снимки в структурированном формате, что позволило следователям анализировать результаты, не взаимодействуя с базовыми данными.
Скрипт явно избегал любых операций, которые могли бы изменить подозрительный репозиторий или быть истолкованы как деструктивные. Cyber Centaurs подчеркивает, что исследователи проводили судебно-медицинское перечисление, а не вторжение.
В отчете говорится: «Доступ к репозиториям осуществлялся с использованием собственного инструментария и семантики конфигурации злоумышленника, без эксплуатации, модификации или нарушения работы». «Рассматривая инфраструктуру злоумышленника как доказательный материал, а не как цель, следователи смогли безопасно проверить гипотезу о постоянном хранилище для множества жертв и заложить основу для того, что стало редкой и масштабной операцией по восстановлению данных».
Они обнаружили похищенные наборы данных, принадлежащие 12 неназванным и не связанным между собой фирмам, пострадавшим от отдельных атак программы-вымогателя INC. Хотя данные были зашифрованы, Cyber Centaurs смогла использовать Restic для дешифрования, поскольку он являлся средством шифрования. Затем компания связалась с правоохранительными органами для подтверждения источника похищенных данных.
Отчет включает индикаторы компрометации и инструменты, используемые INC, в том числе AnyDesk, приложение для удаленного доступа.
В отчете также отмечается, что злоумышленники, злоупотребляющие Restic, часто переименовывают бинарный файл (например, в winupdate.exe) и полагаются на легитимные пути выполнения, чтобы избежать подозрений. Простой и эффективный метод обнаружения — искать выполнение Restic вне ожидаемых контекстов резервного копирования, особенно из системных каталогов или каталогов, доступных для записи пользователем, и сопоставлять это с известными хешами, если таковые имеются.
Джон ДиМаджио, глава XFIL Cyber и специалист по атакам программ-вымогателей, заявил, что в этом расследовании важно не только то, что были восстановлены украденные данные 12 компаний, но и то, что исследователи раскрыли, как группы-вымогатели повторно используют инфраструктуру для нескольких жертв. «Большинство инцидентов с программами-вымогателями заканчиваются после того, как вы сдерживаете шифрование и восстанавливаете системы», — сказал он в электронном письме. «Этот случай показывает, что настоящая ценность заключается в отслеживании операционных моделей злоумышленника для обнаружения того, что они оставили после себя. Это напоминание о том, что программы-вымогатели — это бизнес-модель, а не разовые атаки, а это значит, что есть возможности для их масштабного пресечения».
Однако защитники не должны рассчитывать на такие промахи, как тот, что допустила INC, чтобы спастись от атак. В своем отчете Cyber Centaurs заявляет, что это была возможность, «которая обычно не возникает при стандартном реагировании на программы-вымогатели». Но компания добавляет, что если ошибки все же случаются, защитники могут ими воспользоваться.
В интервью фон Рамин Мапп предупредил, что снижение риска заражения программами-вымогателями — непростая задача. По его словам, злоумышленники будут реагировать на каждую тактику, используемую защитниками. Он отметил, что поможет, если компании-жертвы откажутся платить выкупы, лишив банду финансовой выгоды, от которой она зависит.
«Один из советов, который я часто даю организациям, — это иметь базовый уровень выходных данных чтения и записи на ваших серверах и сетевых ресурсах. Если развертывается программа-вымогатель, вы увидите резкое увеличение этих циклов», — добавил он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
