Nedavna istraga od strane THE DFIR report razotkrila je sofisticirane taktike koje koriste operateri RansomHub ransomwarea u koordinisanoj napadačkoj kampanji, čija je meta bila cijela korporativna mreža putem izloženog servera za udaljeni pristup radnoj površini (RDP).
Napadači su ostvarili pristup putem napada prskanjem lozinki (password spray) na RDP server dostupan sa interneta, koristeći maliciozne IP adrese za kompromitovanje šest naloga i eskalaciju do administratorskih ovlasti.
Prikupljanje kredencijala je vršeno alatima Mimikatz i Nirsoft, dok je skeniranje mreže obavljeno pomoću Advanced IP Scanner i NetScan; lateralno kretanje se odvijalo putem RDP-a ka ključnim serverima.
Uspostavljena je upornost instaliranjem alata za daljinsko upravljanje Atera i Splashtop na rezervne servere, a korisničke lozinke su promijenjene kako bi se pomoglo napadu.
Eksfiltracija podataka se odvijala trećeg dana, pri čemu je ukradeno preko 2 GB osjetljivih datoteka koristeći Rclone i prilagođene skripte putem SFTP-a.
Implementacija ransomwarea je započela šestog dana: RansomHub (amd64.exe) se širio putem SMB-a i udaljenih servisa, enkriptovao datoteke, brisao rezervne kopije i čistio logove.
Cijela operacija trajala je oko 118 sati, kombinujući prikrivenost, automatizaciju i agresivno lateralno kretanje za maksimalan učinak.
Upad je započeo sistematskim napadom prskanjem lozinki na RDP server okrenut internetu, koji je trajao četiri sata.
Hakeri koji su operisali sa IP adresa 185.190.24[.]54 i 185.190.24[.]33 uspješno su kompromitovali šest korisničkih naloga, a obavještajni podaci iz otvorenih izvora potvrđuju da su ove adrese ranije bile uključene u maliciozne aktivnosti usmjerene na administratorske interfejse i firewall-e.
Napadači su pokazali strpljenje i upornost, čekajući nekoliko sati nakon uspješne autentifikacije prije početka faze izviđanja. Ovaj pristup “nisko i sporo” pomogao je u izbjegavanju sistema za detekciju dizajniranih za identifikaciju bruteforce napada.
Nakon ulaska u mrežu, napadači su implementirali sofisticirane alate za prikupljanje kredencijala, prvenstveno Mimikatz i Nirsoftov CredentialsFileView. Istraživači sigurnosti su primijetili metodičan pristup ekstrahovanja kredencijala od strane napadača, ciljajući memoriju Local Security Authority Subsystem Service (LSASS) kako bi direktno izbacili kredencijale iz sistemskih procesa.
Hakeri su koristili Mimikatz komande poput ‘sekurlsa::logonpasswords’ i ‘lsadump::dcsync’ za izdvajanje administratorskih kredencijala domene u više poddomena.
Napadači su generisali CSV izlazne datoteke koje odgovaraju svakom domenu, sugerišući da su sistematski provjeravali administratorski pristup cijeloj korporativnoj infrastrukturi, kako se navodi u izvještaju.
Operateri RansomHub-a kombinovali su tradicionalne tehnike “living-off-the-land” sa komercijalnim alatima za skeniranje mreže radi sveobuhvatnog otkrivanja mreže. Iskoristili su ugrađene Windows komande, uključujući net, nslookup, nltest, ipconfig i ping, kako bi nabrojali korisnike, grupe, domenske povjerenje i mrežnu topologiju.
Dodatno, napadači su preuzeli i implementirali alate Advanced IP Scanner i SoftPerfect NetScan za opsežnije izviđanje mreže. Ovi legitimni alati za administraciju mreže omogućili su hakerima da identifikuju aktivne sisteme, otvorene portove i potencijalne mete za lateralno kretanje u kompromitovanom okruženju.
Trećeg dana upada, napadači su implementirali Rclone, legitimni alat za sinhronizaciju u cloud-u, kako bi eksfiltrirali osjetljive podatke putem SFTP-a preko porta 443. Operacija krađe podataka bila je visoko ciljana, fokusirajući se na dokumente, tabele, mejlove i slikovne datoteke, ukupno 2,03 gigabajta korporativnih podataka prenesenih tokom 40-minutnog perioda.
Upotreba Rclone-a pokazuje trend među grupama ransomwarea ka taktikama “dvostruke ucjene”, gdje ukradeni podaci služe kao dodatni pritisak za zahtjeve za otkupninu iznad jednostavnog enkriptovanja datoteka.
Napad je kulminirao šestog dana implementacijom ransomwarea RansomHub, distribuisanog kao “amd64.exe”. Malware je pokazao sofisticirane mogućnosti širenja, koristeći Server Message Block (SMB) protokol za prenos kopija sebe na udaljene hostove i izvršavanje putem Windows udaljenih servisa.
Prije enkripcije, ransomware je preduzimao odbrambene radnje, uključujući gašenje virtualnih mašina, brisanje kopija volumena u sjeni i čišćenje Windows logova događaja kako bi ometali napore oporavka i forenzičku analizu.
Federalni biro za istrage (FBI) i Agencija za sajber sigurnost i sigurnost infrastrukture (CISA) identifikovali su RansomHub kao jednu od najaktivnijih ransomware grupa 2024. godine, sa preko 210 potvrđenih žrtava u kritičnim infrastrukturnim sektorima. Grupa se pojavila u februaru 2024. i brzo stekla zloglasnost nakon prekida operacija LockBit-a.
Organizacijama se savjetuje da implementiraju višefaktorsku autentifikaciju za RDP pristup, ograniče izloženost udaljene radne površine i implementiraju napredne mogućnosti detekcije krajnjih tačaka kako bi identifikovali aktivnosti prikupljanja kredencijala.
Vremenska linija napada od 118 sati naglašava važnost brzog otkrivanja prijetnji i sposobnosti reagovanja u modernim strategijama sajber sigurnosti.
