Sebuah badan pemerintah regional A.S. yang dikompromikan dengan ransomware LockBit memiliki aktor ancaman di jaringannya setidaknya selama lima bulan sebelum muatan disebarkan, menurut temuan peneliti keamanan.
Log yang diambil dari mesin yang disusupi menunjukkan bahwa dua kelompok ancaman telah mengkompromikan mereka dan terlibat dalam operasi pengintaian dan akses jarak jauh.
Para penyerang mencoba menghapus jejak mereka dengan menghapus Log Peristiwa tetapi potongan-potongan file tetap memungkinkan analis ancaman untuk melihat sekilas aktor dan taktik mereka.
Akses awal yang memungkinkan serangan itu adalah fitur pelindung yang salah satu teknisi agensi biarkan dinonaktifkan setelah operasi pemeliharaan.
Menurut peneliti di perusahaan keamanan siber Sophos, pelaku mengakses jaringan melalui port desktop jarak jauh (RDP) terbuka pada firewall yang salah konfigurasi dan kemudian menggunakan Chrome untuk mengunduh alat yang diperlukan dalam serangan itu.
Toolset termasuk utilitas untuk brute-forcing, scanning, VPN komersial, dan alat gratis yang memungkinkan manajemen file dan eksekusi perintah, seperti PsExec, FileZilla, Process Explorer, dan GMER.
Selain itu, para peretas menggunakan desktop jarak jauh dan perangkat lunak manajemen jarak jauh seperti ScreenConnect, dan kemudian dalam serangan itu, AnyDesk.
Dari sana, para penyerang menghabiskan waktu untuk bersembunyi dan hanya mencoba mencuri kredensial akun yang berharga untuk memperluas kompromi jaringan mereka.
Pada titik tertentu, mereka mengambil kredensial dari admin server lokal yang juga memiliki izin Administrator Domain, sehingga mereka dapat membuat akun baru di sistem lain dengan hak administrator.
Pada tahap kedua serangan, dimulai lima bulan setelah kompromi awal, aktor yang lebih canggih tampaknya telah mengambil alih, membuat Sophos berasumsi bahwa aktor tingkat yang lebih tinggi sekarang bertanggung jawab atas operasi tersebut.
Fase baru dimulai dengan menginstal alat pasca-eksploitasi Mimikatz dan LaZagne untuk mengekstrak set kredensial dari server yang disusupi.
Penyerang membuat kehadiran mereka lebih jelas dengan menghapus log dan melakukan reboot sistem melalui perintah jarak jauh, memperingatkan admin sistem yang membuat 60 server offline dan membagi jaringan.
Kesalahan kedua selama respons insiden ini menonaktifkan keamanan titik akhir. Dari titik ini, kedua pihak terlibat dalam konfrontasi terbuka tentang tindakan dan tindakan balasan.
Sophos bergabung dengan upaya respons dan mematikan server yang menyediakan akses jarak jauh ke musuh, tetapi bagian dari jaringan telah dienkripsi dengan LockBit.
Pada beberapa mesin, meskipun file telah diganti namanya dengan akhiran LockBit, tidak ada enkripsi yang terjadi, jadi memulihkannya adalah masalah membalikkan tindakan penggantian nama.
Para peneliti mengatakan bahwa menerapkan perlindungan otentikasi multi-faktor (MFA) akan menghasilkan hasil yang berbeda, karena akan menghentikan peretas untuk bergerak bebas atau setidaknya secara signifikan menghambat tindakan mereka di jaringan yang disusupi.
Fitur keamanan penting lainnya yang dapat memperlambat pelaku ancaman adalah aturan firewall yang memblokir akses jarak jauh ke port RDP.
Sumber : Bleeping Computer
