Sophos گفت: وابستگان LockBit سازمان دولتی منطقه ای را هک کردند!

سوفوس گفت مهاجمان حداقل پنج ماه را در شبکه یک سازمان دولتی منطقه ای ناشناس سپری کرده اند و قبل از استقرار باج افزار LockBit از راه دور ابزارهای هک را در گوگل جستجو می کردند.

در این گزارش نامی از این سازمان و همچنین دولت محلی یا ایالتی که گفته شده با کدام سازمان مرتبط است، ذکر نشده است. در عوض، اندرو برانت و آنجلا گان(محققان Sophos) تصویری از حمله ارائه کردند و از گزارش رویدادهایی که هکرها حذف نکرده بودند، استفاده کردند تا جدول زمانی رویدادها را جمع آوری کنند.

باج افزار LockBit که به عنوان یک سرویس شناخته میشود، از اواسط سال 2019 فعال بوده است. همانطور که در حال حاضر مشخص است، LockBit از یک روش اخاذی مضاعف استفاده می کند که با آن هم داده ها را رمزگذاری کرده و تهدید می کند که اگر قربانی پرداخت نکند، داده های قربانی را فاش می کند. این باج افزار که عمدتاً برای کاربران روسی زبان ارائه می شود، در تعدادی از حملات قابل توجه از جمله نقض سال گذشته علیه غول مشاوره Accenture استفاده شده است.

محققان نوشتند که مهاجمان قبل از استقرار موفقیت آمیز باج افزار LockBit، 5 ماه از وقت خود را روی سرچ کردن و دانلود ابزار هک در گوگل از دستگاه های خود سازمان گذاشتند.

یکی از ابزارهای هک ScreenConnect است که اکنون آنرا ConnectWise Control می نامند. و بعد از آن از AnyDesk برای دسترسی از راه دور استفاده میکنند.

مهاجمان همچنین از اسکن پروتکل دسکتاپ از راه دور (RDP)، اکسپلویت ها و ابزارهای رمز عبور brute-force، و همچنین استخراج کنندگان ارزهای دیجیتال و نرم افزار دزدی VPN استفاده کردند.

Sophos چند روز قبل از استقرار باج افزار توسط مهاجمان درگیر شد. در ماه قبل، بازیگران از دسترسی خود برای حذف اعتبار حساب، بررسی توانایی های RDP، ایجاد حساب های کاربری جدید و اجرای ابزارهای شمارش شبکه استفاده کردند که Sophos آنها را به عنوان “فعالیت های تنظیم جدول” توصیف کرد.

حمله باج‌افزار موفقیت‌آمیز بود، اما تعدادی از دستگاه ها رمزگذاری نشدند و Sophos اقداماتی را برای خاموش کردن سرورهایی انجام داد که دسترسی از راه دور را برای مهاجمان فراهم می‌کرد. علاوه بر باج استاندارد، مهاجمان تبلیغاتی را نیز گنجانده اند که ظاهراً برای افراد داخلی در سازمانی که به دنبال فروش دسترسی هستند در نظر گرفته شده است. مشخص نیست که آیا سازمان ، باج LockBit را پرداخت کرده است یا خیر.

منبع: وب سایت TechTarget