Οι επιθέσεις ransomware έχουν ξεπεράσει πολύ τον απλό κακόβουλο κώδικα. Σήμερα, οι επιτιθέμενοι λειτουργούν με την ακρίβεια μιας καλά σχεδιασμένης επιχείρησης, χρησιμοποιώντας αξιόπιστα εργαλεία των Windows για να καταρρίψουν αθόρυβα τις άμυνες προτού καν εισέλθει στην εικόνα το ransomware.
Αυτή η αλλαγή έχει κάνει τις σύγχρονες καμπάνιες ransomware πιο δύσκολο να εντοπιστούν και πολύ πιο επιζήμιες.
Τα εργαλεία στο επίκεντρο αυτής της απειλής δεν σχεδιάστηκαν ποτέ για το έγκλημα. Βοηθητικά προγράμματα όπως το Process Hacker, το IOBit Unlocker, το PowerRun και το AuKill δημιουργήθηκαν αρχικά για να βοηθήσουν τις ομάδες IT να διαχειρίζονται διαδικασίες, να ξεκλειδώνουν αρχεία και να αντιμετωπίζουν καθημερινά προβλήματα συστήματος.
Οι επιτιθέμενοι τα έχουν επαναπροσδιορίσει ώστε να τερματίζουν σιωπηλά το λογισμικό προστασίας από ιούς και εντοπισμού και απόκρισης τελικού σημείου (EDR) προτού ρίξουν ένα ωφέλιμο φορτίο ransomware.
Δεδομένου ότι αυτά τα εργαλεία είναι ψηφιακά υπογεγραμμένα και χρησιμοποιούνται ευρέως σε εταιρικά περιβάλλοντα, τα περισσότερα συστήματα ασφαλείας αντιμετωπίζουν τη δραστηριότητά τους ως τυπική διοικητική εργασία — αφήνοντας πολύ λίγα ίχνη πίσω τους.
Οι ερευνητές του Seqrite εντόπισαν αυτό το αυξανόμενο μοτίβο και σημείωσε ότι η κατάχρηση νόμιμων εργαλείων χαμηλού επιπέδου έχει γίνει ένα καθοριστικό χαρακτηριστικό των σημερινών καμπανιών ransomware — από το LockBit 3.0 και το BlackCat μέχρι το Dharma, το Phobos και το MedusaLocker.
Η έρευνα αποκαλύπτει ότι αυτοί οι παράγοντες απειλών δεν βασίζονται μόνο σε προσαρμοσμένο κακόβουλο λογισμικό. Αντίθετα, μελετούν προσεκτικά τους στόχους τους, εντοπίζουν τις αδυναμίες ασφαλείας και χρησιμοποιούν τα ίδια τα εργαλεία που έχουν κατασκευαστεί για τη διατήρηση της υγείας του συστήματος.
Η απενεργοποίηση του προγράμματος προστασίας από ιούς δεν είναι δευτερεύον βήμα σε αυτές τις επιθέσεις — είναι ένα σκόπιμα και κρίσιμο μέρος του συνολικού σχεδίου. Οταν Το λογισμικό ασφαλείας είναι ενεργό, μπορεί να μπλοκάρει κακόβουλα ωφέλιμα φορτία κατά την εκτέλεση, να καταγράφει μη φυσιολογική συμπεριφορά κρυπτογράφησης και να ειδοποιεί τις ομάδες ασφαλείας σε πραγματικό χρόνο.
Κλείνοντας πρώτα αυτές τις άμυνες, οι εισβολείς δημιουργούν ένα σιωπηλό παράθυρο όπου το ransomware μπορεί να λειτουργεί ελεύθερα και χωρίς διακοπή.
Αυτή η στρατηγική έχει προχωρήσει σημαντικά με τα χρόνια, μεταβαίνοντας από τα βασικά σενάρια γραμμής εντολών που χρησιμοποιούνται από πρώιμες απειλές όπως το CryptoLocker και το WannaCry, στη χειραγώγηση προγραμμάτων οδήγησης σε επίπεδο πυρήνα που παρατηρείται στις καμπάνιες Conti και LockBit 2.0 και τώρα σε προσυσκευασμένες μονάδες προστασίας από ιούς που είναι ενσωματωμένες απευθείας σε ransomware-as-a-service kits (aR).
Το εύρος αυτής της απειλής φτάνει σε οργανισμούς όλων των μεγεθών — από μικρές επιχειρήσεις έως μεγάλες επιχειρήσεις — και η διαδρομή επίθεσης ακολουθεί σταθερά μια σκόπιμη ακολουθία που εκμεταλλεύεται αξιόπιστα εργαλεία σε κάθε στάδιο για να αποφύγει τον εντοπισμό.
Μόλις οι επιτιθέμενοι εδραιώσουν μια βάση, ακολουθούν μια διαδικασία δύο σταδίων που καταργεί συστηματικά την ασφάλεια πριν εκτελεστεί ποτέ το ωφέλιμο φορτίο ransomware.
Στο πρώτο στάδιο, ο στόχος είναι εξ ολοκλήρου η εξουδετέρωση του antivirus και η κλιμάκωση των προνομίων. Εργαλεία όπως το IOBit Unlocker διαγράφουν δυαδικά αρχεία προστασίας από ιούς χρησιμοποιώντας το NtUnlockFile API, ενώ το TDSSKiller – αρχικά ένα βοηθητικό πρόγραμμα αφαίρεσης rootkit – επαναχρησιμοποιήθηκε για να ξεφορτώνει προγράμματα οδήγησης πυρήνα προστασίας από ιούς, εμποδίζοντάς τους να επαναφορτωθούν.
Το Process Hacker τερματίζει τις διαδικασίες προστασίας από ιούς εκμεταλλευόμενο το SeDebugPrivilege και το Atool_ExperModel διαγράφει τις καταχωρίσεις μητρώου εκκίνησης προστασίας από ιούς, καταργώντας τις προγραμματισμένες εργασίες και παραβιάζοντας εντελώς την επιμονή.
Το δεύτερο στάδιο είναι όπου η επίθεση φτάνει στο πιο επικίνδυνο σημείο της. Μόλις εξουδετερωθεί το λογισμικό ασφαλείας, οι εισβολείς στρέφουν την εστίασή τους στην κλοπή διαπιστευτηρίων, τη χειραγώγηση του πυρήνα και την ανάπτυξη ransomware.
Το YDArk συνδέει τις επιστροφές κλήσης σε επίπεδο πυρήνα για να διατηρήσει την stealth persistence, ενώ το PowerRun εκτελεί το ωφέλιμο φορτίο ransomware με πλήρη δικαιώματα σε επίπεδο SYSTEM.
Το Mimikatz διαβάζει τη μνήμη LSASS για να εξάγει κρυφά διαπιστευτήρια διαχειριστή, επιτρέποντας την πλευρική κίνηση στο δίκτυο.
Το Unlock_IT διαγράφει τις καταχωρίσεις μητρώου και τα εγκληματολογικά ίχνη για να καθαρίσει αποδεικτικά στοιχεία, ενώ το AuKill τερματίζει ρητά όλες τις υπόλοιπες διαδικασίες EDR.
Με την ολοκλήρωση και των δύο σταδίων, το περιβάλλον είναι πλήρως προετοιμασμένο για αθόρυβη, μεγάλης κλίμακας κρυπτογράφηση αρχείων χωρίς καμία άμυνα για παρέμβαση.
Οι οργανισμοί πρέπει να επιβάλλουν έλεγχος ταυτότητας πολλαπλών παραγόντων σε όλους τους προνομιούχους λογαριασμούς, ενεργοποιήστε τη λίστα επιτρεπόμενων εφαρμογών για τον αποκλεισμό μη εγκεκριμένων βοηθητικών προγραμμάτων και παρακολουθήστε ενεργά για ύποπτες εντολές τερματισμού, όπως sc stop, net stopκαι taskkill.
Οι ομάδες ασφαλείας θα πρέπει να ελέγχουν τις αλλαγές μητρώου που συνδέονται με διαμορφώσεις προστασίας από ιούς και εκκίνησης, να περιορίζουν την πρόσβαση σε εργαλεία διαχείρισης χαμηλού επιπέδου μόνο σε ελεγμένο προσωπικό και να εκπαιδεύουν τους αναλυτές SOC να αναγνωρίζουν πρώιμα σημάδια εξουδετέρωσης της άμυνας.
Οποιοδήποτε επηρεασμένο τελικό σημείο θα πρέπει να απομονωθεί αμέσως για να αποφευχθεί η πλευρική κίνηση και να περιοριστεί η πρόσκρουση
