SophosX-Ops在一份报告中称,一家汽车供应商的系统在5月份的两周内被三个不同的勒索软件团伙入侵,文件被盗加密,两次攻击之间的间隔甚至在两个小时内。这些攻击发生在2021年12月初始访问代理(IAB)首次入侵公司系统之后,攻击者利用防火墙的错误配置并使用远程桌面协议(RDP)连接来破坏域控制器服务器。SophosX-Ops周三报道说,虽然双重勒索软件攻击变得越来越普遍,但这是他们第一次看到三个独立的勒索软件攻击者使用同一个入口点来攻击一个组织。两个月内发生三起违规事件在最初的违规事件之后,LockBit、Hive和ALPHV/BlackCat附属攻击组织也分别于4月20日、5月1日和5月15日获得了对受害者网络的访问权限。5月1日,使用合法的PsExec和PDQDeploy工具在两小时内将LockBit和Hive勒索软件有效载荷分发到全网,每次攻击加密十几个系统,与LockBit相关的攻击组也窃取并泄露了数据到Mega云存储服务。SophosX-Ops在报告中补充了该事件的细节,称由于Hive攻击在Lockbit之后2小时开始,而Lockbit勒索软件仍在运行,因此这两个组织一直在寻找未将其标记为加密的扩展程序。命名文件。两周后的5月15日,当这家汽车供应商的IT团队仍在恢复系统时,一名BlackCat攻击者也连接到了同一台被LockBit和Hive攻破的管理服务器。安装合法的AteraAgent远程访问解决方案后,攻击者在网络上获得了持久性并泄露了被盗数据。在半小时内,BlackCat的附属攻击机构使用网络上的PsExec传送其自己的勒索软件负载,在使用受损凭据在网络中横向移动后加密六台机器。攻击时间表这个最后关头的攻击者还通过删除卷影副本和清除受感染系统上的Windows事件日志,使恢复尝试和Sophos团队的事件响应工作变得复杂。BlackCat删除了Sophos可以用来追踪三个勒索软件团伙在受害者网络中的活动的证据。Sophos事件响应人员在5月中旬协助受害者调查此次攻击时,发现文件被Lockbit、Hive和BlackCat勒索软件加密了三次,并在加密系统上发现了三种不同的赎金票据。“事实上,正如下面的截图所示,一些文件甚至被加密了五次,”Sophos团队向外界透露。“由于Hive攻击在Lockbit后2小时开始,Lockbit勒索软件仍在运行,两个小组都不断发现没有扩展名的文件被标记为加密。”文件被加密5次如何抵御勒索软件Sophos还发布了一份白皮书分享指南,以防御来自多个勒索软件团伙的类似攻击。建议企业保持系统最新,并调查其环境中是否存在威胁行为者引入的后门或漏洞,作为万一被驱逐时重新获得网络访问权限的故障保险。Sophos还建议锁定VNC和RDP等服务或从外部访问的远程访问解决方案。如果需要远程访问,系统只能通过VPN访问,并且只能通过具有强制多因素身份验证(MFA)和强密码的帐户访问。网络也应该被分段,关键服务器被分成VLAN,整个网络应该被扫描和审计以检测未打补丁和易受攻击的设备。来源:https://www.bleepingcomputer.com/news/security/automotive-supplier-breached-by-3-ransomware-gangs-in-2-weeks/
