Ερευνητές της McAfee θέλησαν να μελετήσουν τα εργαλεία και τις τακτικές, που χρησιμοποιούν οι hackers πίσω από το Sodinokibi Ransomware για τη μόλυνση των συστημάτων των θυμάτων τους. Γι’ αυτό το σκοπό δημιούργησαν ένα δίκτυο honeypots.
Οι hackers πίσω από το ransomware χωρίζονται σε ομάδες, οι οποίες έχουν διαφορετικά ονόματα. Έτσι φαίνεται ποιος επηρέασε το σύστημα του θύματος και ποιος πρέπει να πληρωθεί.
Αυτός ο διαχωρισμός σε ομάδες βοήθησε τους ερευνητές να παρακολουθήσουν τη συμπεριφορά τους και να κατανοήσουν τον τρόπο με τον οποίο επιτίθενται στα θύματα και εξαπλώνονται στο δίκτυο.
Παρακολούθηση των εγκληματιών
Η ερευνητική ομάδα της McAfee χρησιμοποίησε ένα παγκόσμιο δίκτυο Remote Desktop Protocol (RDP) honeypots για την παρακολούθηση των δραστηριοτήτων των τριών ομάδων.
Οι ομάδες πίσω από το Sodinokibi Ransomware ονομάζονται Group 1, affiliate #34, και affiliate #19. Και οι τρεις ομάδες παραβίαζαν τα συστήματα αρχικά μέσω RDP και στη συνέχεια προσπαθούσαν να παραβιάσουν και το υπόλοιπο δίκτυο.
Οι ερευνητές παρατήρησαν ότι και οι τρεις ομάδες προσπαθούσαν να αποκτήσουν πρόσβαση και στο υπόλοιπο δίκτυο, χρησιμοποιώντας port scanning εργαλεία για τον εντοπισμό προσβάσιμων RDP servers. Έπειτα, χρησιμοποιούσαν το brute forcing εργαλείο, NLBrute RDP, για να αποκτήσουν πρόσβαση σε servers.
Οι ομάδες # 34 και # 19 χρησιμοποιούσαν πιο εξειδικευμένες τεχνικές για την πραγματοποίηση επιθέσεων. Για παράδειγμα, χρησιμοποιούσαν Mimikatz batch files για την κλοπή credentials και την πραγματοποίηση άλλων παράνομων δραστηριοτήτων.
Οι hackers της ομάδας # 19 φαίνεται πως έχουν τις περισσότερες δυνατότητες. Οι hackers προσπάθησαν να χρησιμοποιήσουν τοπικά exploits για να αποκτήσουν πρόσβαση διαχειριστή στους παραβιασμένους υπολογιστές. Η πρόσβαση σε ένα λογαριασμό διαχειριστή είναι πολύ σημαντική για τους hackers, καθώς μπορούν να επηρεάσουν πιο εύκολα τα συστήματα όλου του δικτύου.
Οι ερευνητές παρατήρησαν, επίσης, ότι η ομάδα # 34 προσπαθούσε να εγκαταστήσει cryptomining payloads (MinerGate και XMRig), πέρα από το Sodinokibi Ransomware.
Η McAfee μπόρεσε να εντοπίσει τη διεύθυνση email ενός από τους hackers.
“Με βάση την ανάλυσή μας, αυτό το άτομο είναι μάλλον μέλος μιας ομάδας, που κλέβει credentials και άλλα είδη δεδομένων”. Τα δεδομένα αυτά χρησιμοποιούνται για την πραγματοποίηση brute-force επιθέσεων.
Χρήση του λογισμικού Everything για τον εντοπισμό εγγράφων
Η ομάδα # 34 αξιοποίησε για τους σκοπούς της το λογισμικό εντοπισμού αρχείων Everything.
Το Everything βοηθά στην εύκολη και γρήγορη εύρεση αρχείων και φακέλων, που βρίσκονται στον υπολογιστή, χρησιμοποιώντας απλά μια λέξη-κλειδί. Επιπλέον, μπορεί να γίνει αναζήτηση περιεχομένου μέσα στα αρχεία.
Οι ερευνητές της McAfee δεν κατάφεραν να δουν τις ακριβείς αναζητήσεις που έκαναν οι hackers. Ωστόσο, κατάλαβαν ότι οι hackers είχαν ψάξει τα αρχεία στους υπολογιστές των θυμάτων.
Οι ερευνητές πιστεύουν ότι οι hackers εγκαθιστούσαν το λογισμικό Everything για να αναζητήσουν εύκολα ευαίσθητα αρχεία.
Οι hackers με αυτόν τον τρόπο έβρισκαν τα σημαντικά αρχεία, τα έκλεβαν και στη συνέχεια ζητούσαν χρήματα από τα θύμτατα.
Η χρήση του λογισμικού Everything σε επιθέσεις ransomware είναι μια πολύ ενδιαφέρουσα τακτική. Οι επιχειρήσεις πρέπει να βρίσκονται σε εγρήγορση, δεδομένου ότι οι κλοπές δεδομένων είναι από τις πιο συνηθισμένες επιθέσεις στις μέρες μας.
