Istražna analiza incidenta od strane THE DFIR reporta otkrila je sofisticirane taktike koje koriste operatori RansomHub ransomware-a u koordiniranoj kampanji napada koja je ugrozila cijelu korporativnu mrežu putem izloženog servera za daljinsko upravljanje radnom površinom (RDP).
Napadači su dobili pristup putem masovnog pokušaja pogađanja lozinki na izloženom RDP serveru, koristeći zlonamjerne IP adrese za kompromitovanje šest naloga i eskalaciju do administratorskih privilegija. Žetvu vjerodajnica su obavili koristeći Mimikatz i Nirsoft alate, dok su za mapiranje mreže koristili Advanced IP Scanner i NetScan, a kretanje unutar mreže vršili su putem RDP-a do ključnih servera. Uspostavili su postojanost instaliranjem alata za daljinsko upravljanje Atera i Splashtop na rezervne servere, a promijenili su korisničke lozinke kako bi olakšali napad. Egzfiltracija podataka se odvijala trećeg dana, kada je ukradeno preko 2 GB osjetljivih datoteka koristeći Rclone i prilagođene skripte preko SFTP protokola. Raspoređivanje ransomware-a započelo je šestog dana: RansomHub (amd64.exe) se širio putem SMB-a i udaljenih servisa, šifrovao datoteke, brisao rezervne kopije i čistio logove. Cijela operacija trajala je približno 118 sati, kombinujući prikrivenost, automatizaciju i agresivno kretanje unutar mreže za maksimalan uticaj.
Upad je započeo sistematskim napadom pogađanja lozinki ciljajući RDP server izložen internetu tokom perioda od četiri sata.
Prijetnje operativne grupe sa IP adresa 185.190.24[.]54 i 185.190.24[.]33 uspješno su kompromitovale šest korisničkih naloga, a obavještajni podaci otvorenog koda potvrđuju da su te adrese imale istoriju zlonamjernih aktivnosti usmjerenih na administrativne interfejse i zaštitne zidove.
Napadaj se strpljivo i uporno, čekajući nekoliko sati nakon uspješne autentifikacije prije nego što su započeli fazu izviđanja. Ovaj “spor i prikriven” pristup pomogao je u izbjegavanju sistema za detekciju dizajniranih za identifikaciju brzih brute-force napada.
Nakon ulaska u mrežu, napadači su rasporedili sofisticirane alate za žetvu vjerodajnica, prvenstveno Mimikatz i CredentialsFileView kompanije Nirsoft. Sigurnosni istraživači su primijetili metodičan pristup napadača ekstrakciji vjerodajnica, ciljajući uslugu podsistema lokalne sigurnosti (LSASS) memoriju radi direktnog izdvajanja vjerodajnica iz sistemskih procesa. Operativne grupe prijetnji su koristile Mimikatz komande kao što su ‘sekurlsa::logonpasswords’ i ‘lsadump::dcsync’ za ekstrakciju vjerodajnica domen administratora u više poddomena. Napadači su generisali CSV izlazne datoteke koje odgovaraju svakom domenu, sugerišući da su sistematski provjeravali administratorski pristup širom cijele korporativne infrastrukture, kako se navodi u izvještaju.
Operatori RansomHub-a su kombinovali tradicionalne “living-off-the-land” tehnike sa komercijalnim alatima za skeniranje mreže za sveobuhvatno otkrivanje mreže. Iskoristili su ugrađene Windows komande, uključujući net, nslookup, nltest, ipconfig i ping, za enumeraciju korisnika, grupa, domen trustova i mrežne topologije. Dodatno, napadači su preuzeli i rasporedili alate Advanced IP Scanner i NetScan kompanije SoftPerfect za opsežnije izviđanje mreže. Ovi legitimni alati za administraciju mreže omogućili su operativnim grupama prijetnji da identifikuju aktivne sisteme, otvorene portove i potencijalne ciljeve za lateralno kretanje unutar kompromitovanog okruženja.
Trećeg dana upada, napadači su rasporedili Rclone, legitimni alat za sinhronizaciju u oblaku, radi egzfiltracije osjetljivih podataka preko SFTP-a na portu 443. Operacija krađe podataka je bila visoko ciljana, fokusirajući se na dokumente, tabele, mejlove i slike, ukupno 2.03 gigabajta korporativnih podataka prenijetih tokom prozora od 40 minuta. Upotreba Rclone-a demonstrira trend među grupama ransomware-a ka “dvostrukim iznudama”, gdje ukradeni podaci služe kao dodatni poluga za zahtjeve za otkupom izvan jednostavnog šifriranja datoteka.
Napad je kulminirao šestog dana raspoređivanjem RansomHub ransomware “payload”-a, distribuiranog kao “amd64.exe”. Malware je pokazao sofisticirane mogućnosti širenja, koristeći protokol Server Message Block (SMB) za prijenos kopija sebe na udaljene hostove i izvršavanje putem Windows udaljenih servisa. Prije šifriranja, ransomware je izvršio odbrambene radnje, uključujući isključivanje virtuelnih mašina, brisanje kopija sjenki volumena i čišćenje Windows event logova kako bi otežao oporavak i forenzičku analizu. Federalni istražni biro (FBI) i Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) identifikovali su RansomHub kao jednu od najaktivnijih grupa ransomware-a u 2024. godini, sa preko 210 potvrđenih žrtava u ključnim sektorskim infrastrukturama. Grupa se pojavila u februaru 2024. godine i brzo stekla zloglasnost nakon prekida operacija LockBit-a. Organizacijama se savjetuje da implementiraju višefaktorsku autentifikaciju za RDP pristup, ograniče izloženost udaljene radne površine i rasporede napredne mogućnosti detekcije krajnjih tačaka kako bi identifikovali aktivnosti žetve vjerodajnica. Vremenska linija napada od 118 sati naglašava važnost brzog otkrivanja prijetnji i mogućnosti reagovanja u modernim strategijama kibernetičke odbrane.
