Pastebėta, kad 2021 m. rugpjūtį pirmą kartą atrasta kvantinė išpirkos programinė įranga vykdo greitas atakas, kurios sparčiai didėja, todėl gynėjams lieka mažai laiko reaguoti.
Grėsmių dalyviai kaip vieną iš pradinių prieigos vektorių naudoja IcedID kenkėjišką programą, kuri įgyvendina „Cobalt Strike“ nuotolinei prieigai ir veda prie duomenų vagystės bei šifravimo naudojant „Quantum Locker“.
Technines Quantum ransomware atakos detales išanalizavo saugumo tyrinėtojai „The DFIR Report“, teigdami, kad ataka truko tik 3 valandas ir 44 minutes nuo pradinio užkrėtimo iki šifravimo įrenginių nutraukimo.
IcedID naudojimas kaip pradinė prieiga
Ataka, kurią pamatė „The DFIR Report“, naudojo „IcedID“ kenkėjišką programą kaip pradinę prieigą prie tikslinės mašinos, kuri, jų nuomone, buvo gauta per sukčiavimo el. laišką su ISO priedu.
„IcedID“ yra modulinis bankininkystės Trojos arklys, kuris buvo naudojamas pastaruosius penkerius metus, visų pirma antrojo etapo naudingojo krovinio diegimui, krovikliams ir išpirkos reikalaujančioms programoms.
IcedID ir ISO failų derinys neseniai buvo naudojamas kitose atakose, nes šie failai puikiai tinka praeiti el. pašto saugos patikras.
Praėjus dviem valandoms po pirminio užsikrėtimo, grėsmės veikėjai suleidžia Cobalt Strike į C:WindowsSysWOW64cmd.exe procesą, kad išvengtų aptikimo.
Pirmieji žingsniai infekcijos grandinėje (DFIR)
Šiame etape įsibrovėliai pavogė „Windows“ domeno kredencialus, išmesdami LSASS atmintį, leisdami jiems pasklisti į šonus visame tinkle.
Per kitą valandą grėsmės veikėjas pradėjo užmegzti KPP ryšius su kitais aplinkos serveriais, ataskaitoje pateikiama DFIR informacija.
„Kai grėsmės veikėjas kontroliavo domeno išdėstymą, jis pasiruošė įdiegti išpirkos reikalaujančią programinę įrangą, nukopijuodamas ją (vadinamą ttsel.exe) į kiekvieną pagrindinį kompiuterį per C$ bendrinamą aplanką.
Galiausiai grėsmės veikėjai naudojo WMI ir PsExec, kad įdiegtų Quantum ransomware naudingąją apkrovą ir užšifruotų įrenginius.
Ši ataka truko tik keturias valandas, o tai yra gana greita, ir kadangi šios atakos dažniausiai įvyksta vėlai vakare arba savaitgalį, tinklo ir saugos administratoriams nesuteikiamas didelis langas aptikti ataką ir į ją reaguoti.
Norėdami gauti daugiau informacijos apie „Quantum Locker“ naudojamus TTP, DFIR ataskaitoje pateiktas išsamus kompromiso rodiklių sąrašas, taip pat C2 adresai, prie kurių prisijungė „IcedID“ ir „Cobalt Strike“, kad galėtų bendrauti.
Kas yra „Quantum Locker“?
„Quantum Locker“ išpirkos reikalaujanti programa yra „MountLocker“ išpirkos reikalaujančios programos operacijos, kuri buvo išleista 2020 m. rugsėjo mėn., prekės ženklo pakeitimas.
Nuo tada „ransomware“ gauja pervadino savo veiklą įvairiais pavadinimais, įskaitant „AstroLocker“, „XingLocker“, o dabar – „Quantum Locker“.
Prekės ženklo keitimas į Quantum įvyko 2021 m. rugpjūčio mėn., kai išpirkos reikalaujančios programos šifruotojas pradėjo pridėti .kvantinė failo plėtinys, skirtas užšifruotiems failų pavadinimams ir pavadintiems išpirkos užrašams README_TO_DECRYPT.html .
Šiose pastabose yra nuoroda į Tor išpirkos prekybos svetainę ir unikalus su auka susietas ID. Išpirkos raštuose taip pat rašoma, kad atakos metu buvo pavogti duomenys, kuriuos užpuolikai grasina paviešinti, jei išpirka nebus sumokėta.
„Quantum Locker“ išpirkos užrašai
Šaltinis: BleepingComputer
Nors DFIR ataskaitoje teigiama, kad per ataką, kurią analizavo, nepastebėjo jokios duomenų išfiltravimo veiklos, „BleepingComputer“ anksčiau patvirtino, kad duomenys yra pavagiami per atakas ir nutekinami dvigubo turto prievartavimo schemose.
Šios gaujos išpirkos reikalavimai skiriasi priklausomai nuo aukos: kai kurių išpuolių atveju reikalaujama 150 000 USD, kad gautų iššifratorių, o kiti, kuriuos mato „BleepingComputer“, reikalauja kelių milijonų dolerių, kaip parodyta toliau.
„Quantum Locker“ reikalauja 3,8 mln. USD išpirkos
Šaltinis: BleepingComputer
Laimei, „Quantum Locker“ nėra tokia aktyvi operacija, kaip ankstesni įsikūnijimai – kiekvieną mėnesį įvyksta tik keletas išpuolių.
Tačiau nors jie gali būti ne tokie aktyvūs kaip kitos išpirkos reikalaujančios programos, tokios kaip „Conti“, „LockBit“ ir AVOS, jos vis tiek kelia didelę riziką ir tinklo gynėjams svarbu žinoti su jų atakomis susijusius TTP.
Ką tu manai?
