IT

Intensificare atacuri cibernetice de tip ransomware, prin utilizarea BitLocker

Curierul Național
Autor Curierul Național

Sursa: dnsc.ro

În ultima perioadă s-au intensificat atacurile cibernetice de tip ransomware, prin utilizarea BitLocker, prin intermediul serviciilor de e-mail, care vizează companiile din domeniul financiar-contabil.

DESCRIERE

Atacatorii vizează societăți comerciale din domeniul financiar-contabil, cu precădere, acele companii care au disponibilități materiale, în vederea efectuării plății răscumpărării. În vederea decriptării sunt solicitate diferite sume în monedă crypto. Dovada efectuării acestor plăți este solicitată prin intermediul diferitelor platforme de mesagerie. Fiecărui caz/păgubit îi este atribuit un canal distinct în cadrul acestor aplicații, iar dialogul cu atacatorii se realizează doar prin mesaje.

În cadrul mesajului de răscumpărare se menționează faptul că trebuie luată cât mai urgent legătura cu atacatorii, în caz contrar datele criptate fiind șterse. În acest fel se creează starea de panică/urgență, pe care mizează atacatorii, în vederea efectuării plății răscumpărării.

De asemenea, sunt menționate diferite articole din presa online în cadrul cărora se reliefează faptul că amenzile GDPR sunt foarte mari, prin urmare este folosit un alt instrument pentru a crea presiune psihologică asupra companiilor ce au căzut deja victime.

În cadrul campaniei de tip spear phishing identificate, atacatorii urmăresc infectarea inițială a utilizatorilor vizați, prin atașarea unor fișiere dăunătoare de tip .pdf.

Acest fișier .pdf conține de fapt un cod JavaScript ascuns care rulează prin Windows Script Host (WSH) și utilizează ActiveXObject pentru a interacționa cu sistemul de operare. Scopul său principal este furtul de informații și executarea de comenzi de la distanță, folosind un server de comandă și control (C2).

DETALII TEHNICE

Inițializare și persistență

  • Adresă email periculoasă: se utilizează adrese de email ale unor experți contabili cunoscuți, de tip nume_prenume@domeniu.ro, adresa legitimă fiind de obicei nume-prenume@domeniu.ro.
  • Rulează folosind WScript[.]Shell, ADODB[.]Stream, MSXml2.DOMDocument, Scripting[.]FileSystem-Object.
  • Așteaptă 2 secunde (WScript.Sleep(2000)) și apoi rulează WScript[.]Shell[.]Run pentru a executa un fișier
  • Se conectează la URL-ul: hXXps://pdfhost.io/v/fodknUUL0_fisa_client_afimir_iunie_2022iulie_2023, unde se afișează un PDF folosit pe post de capcană.
  • Conectare la Serverul C2 și executarea de comenzi
  • Se conectează alternativ la două IP-uri C2: 89.35.131.71:80 și 179.43.157.31:80
  • Trimite și primește comenzi codificate prin cereri HTTP GET.
  • Decodifică și rulează comenzile primite folosind new Function(response)().
  • Comenzile primite de la C2 (server de comandă și control)
  • Fișierele command-XX.txt conțin diferite tipuri de operațiuni:
  • Extrage date din sistem (Win32_OperatingSystem, Win32_Processor, Win32_ComputerSystem-Product).
  • Obține UUID-ul și identifică sistemul (SELECT * FROM Win32_ComputerSystemProduct).
  • Exfiltare date utilizator (%COMPUTERNAME%, %USERNAME%, %USERDOMAIN%, %USERPROFILE%).
  • Citește și șterge fișiere (fs.DeleteFile, fs.DeleteFolder).
  • Caută fișiere pe Desktop (HKEY_USERS\S-1-5-19\ENVIRONMENT\TEMP).
  • Detectează adresa IP externă (http://ipinfo.io/json).
  • Listează unități și spațiu disponibil (fs.Drives).
  • Obține atributele fișierelor și le trimite la C2.
  • Poate executa orice comenzi, fără a se limita la cele enumerate mai sus. De exemplu, poate fi executat WinRAR pentru arhivarea datelor sau activarea BitLocker.

Exfiltrare date & evaziune

  • Codifică datele furate în Base64, folosind funcția encode.string().
  • Aplică înlocuiri pe caractere pentru a ascunde mesajele de exemplu (T → _, M → ., = → -).
  • Disimulare avansată → variabile și funcții generate aleatoriu, apelări recursive.

RECOMANDĂRI GENERALE

- Publicitate -
  1. Prevenție și protecție proactivă
  • Activați BitLocker la nivelul sistemului, pentru evitarea ulterioară a preluării controlului de către eventualii atacatori.
  • Blocați extensiile periculoase în soluția de e-mail (ex: .js, .vbs, .wsh, .scr, .hta).
  • Implementați o soluție de Content Disarm and Reconstruction (CDR) pentru atașamentele din email, în vederea sanitizării fișierelor.
  • Restricționați rularea WSH/ActiveX din politicile GPO (Group Policy).
  • Dezactivați wscript.exe, cscript.exe pentru utilizatorii fără drepturi administrative.
  • Blocați execuția fișierelor .js și .vbs prin folosirea AppLocker/WDAC.
  • Activați Microsoft Defender SmartScreen și protecția împotriva scripturilor nelegitime.
  • Folosiți DNS firewalling pentru a bloca automat domeniile/URL-urile rău intenționate.
  • Activați vizibilitatea extensiilor.
  1. Detectare și răspuns

Implementați o soluție de tip Endpoint Detection & Response (EDR), capabilă să detecteze procese neobișnuite și execuții de scripturi disimulate.

Monitorizați cu un sistem de tip Security Information and Event Management (SIEM) următorii indicatori:

  • Execuția wscript.exe, mshta.exe, powershell.exe cu parametri suspicioși.
  • Conexiuni de ieșire către IP-urile C2: 89.35.131.71, 179.43.157.31.
  • Activarea BitLocker fără privilegii administrative.
  • Detectați accesul la fișiere din %TEMP%, %USERPROFILE%, Desktop și tentative de ștergere automată.
  • Corelați acțiunile suspecte cu rularea funcției new Function() în JS sau scripturi recursive.
  1. Remediere și recuperare
  • Izolați imediat sistemele suspecte sau infectate de la rețea.
  • Investigați și exportați memoria RAM pentru analiză ulterioară, de tip forensic.
  • Restabiliți datele dintr-un backup offline – verificați integritatea acestora înainte de restaurare.
  • Resetați toate parolele afectate în cazul în care au fost detectate în scurgeri publice de credențiale.
  • Regenerați cheile de criptare BitLocker dacă sistemul a fost criptat.
  1. Măsuri complementare de siguranță
  • Implementați autentificare de tip multifactor (MFA) pentru toate conturile cu privilegii administrative.
  • Introduceți politici de tip Zero Trust și de segmentare a rețelei.
  • Instruiți periodic utilizatorii privind riscurile deschiderii fișierelor provenite din surse necunoscute.

CONCLUZII

Fișierul dăunător analizat prezintă capacități avansate de control de la distanță, fiind capabil să execute orice comandă primită de la un server C2 prin tehnici disimulate și invocare dinamică de cod JavaScript.

Combină funcționalități de exfiltrare de date, manipulare fișiere și detecție sistem, fiind capabil să afecteze confidențialitatea, integritatea și disponibilitatea sistemului afectat.

Un risc critic suplimentar este reprezentat de activarea BitLocker prin comenzi automate, ceea ce poate duce la criptarea integrală a datelor și blocarea accesului la datele compromise, într-un scenariu similar atacurilor de tip ransomware.

Se recomandă revizuirea imediată a politicilor de execuție scripturi și evaluarea expunerii sistemelor la atacuri care implică ActiveX Object și WSH.

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.

Distribuie articolul
Articolul anterior Birourile viitorului: colaborare, energie și atragerea talentelor, cu un grad de ocupare ideal între 50% și 85% 
Articolul următor Caricatura zilei
Niciun comentariu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

-Publicitate-

Ultimele articole

Dominic Fritz, apel către George Simion: „Aceasta este România pe care Nicușor Dan o va construi în următorii ani”
Politic
Nicușor Dan, după ce exit-poll-urile l-au dat câștigător: „De mâine, toţi împreună începem reconstrucţia României” 
Politic
Președintele sârb Aleksandar Vucic refuză cererile studenților pentru alegeri anticipate
Extern

Citește și