آخرین حملات

INC. Ransomware

INC. Ransomware

عامل تهدید جدیدی به نام INC. Ransomware که در ماه July سال ۲۰۲۳ شاهد فعالیت آن بودیم، به‌عنوان یک گروه باج‌افزاری فعالیت خود را شروع کرده است. این گروه موقعیت خود را به‌عنوان ارائه‌دهنده خدمات به قربانیان خود معرفی می‌کند، با عنوان اینکه بعد از پرداخت باج از آسیب‌پذیری‌های سیستم و شبکه خود مطلع می‌شود. INC.Ransomware برای دریافت باج از روش‌های مختلفی از جمله سرقت اطلاعات و انتشار آن به شکل عمومی (برعکس سایر گروه‌های باج‌افزاری که دیتا را رمزنگاری و در صورت عدم پرداخت باج، فایل‌ها را حذف می‌کردند) استفاده می‌کند.

گروه باج‌افزاری INC. Ransomware، انواع صنایع واقع در کشورهای غربی از جمله کشورهای اروپایی و آمریکا را هدف قرار می‌دهد. از جمله این صنایع می‌توان صناع پزشکی و دارویی، آموزشی و حتی ارگان‌های دولتی را نام برد.

این گروه باج‌افزاری برای گرفتن دسترسی اولیه از روش‌ها مختلفی بسته به هدف خود استفاده می‌کند. این روش‌ها می‌توانند به شکل Spear-Phishing یا هدف قراردادن سرویس‌های آسیب‌پذیر، از جمله سو استفاده از CVE-2023-3519 در Citrix NetScaler را نام برد. بعد از گرفتن دسترسی اولیه با استفاده از انواع COTS یا LOLBIN ها اقدام به شناسایی شبکه داخلی می‌کند و از آن برای Lateral Movement استفاده می‌کند. ابزارهای مورداستفاده این گروه طی این پروسه شامل موارد زیر است:

  • Netscan.exe
  • MegasyncSetup64.exe
  • Esentutl.exe
  • Anydesk.exe

پیلودهای INC.Ransomware از تعدادی دستورات تحت ترمینال برای انجام عملیات از طریق سرور C2 استفاده می کند. این دستورات برای رمزنگاری یک فایل خاص، یک مسیر خاص، رمزنگاری فایل های اشتراک گذاشته شده در شبکه، رمزنگاری فایل های پنهان شده در سیستم، قابلیت دیباگ و اتمام پروسه محدود می شود. همین مورد نشان می دهد که مهاجم تمام سیستم را رمزنگاری نمی کند و فقط بخشی از اطلاعات مهم رمزنگاری می شود. همانطور که مشخص است این باج افزار فقط بخشی از سیستم و اطلاعاتی که مد نظر قرار داده را رمزنگاری می کند.

بعد از رمزنگاری و انجام عملیات، فایل یادداشت یا Ransome Note (فایل یادداشتی که باج‌افزار برای قربانی باقی می‌گذارد تا از طریق مشخصات اعلام شده در زمان مدنظر باج را به مهاجم پرداخت کند.) را در هر دو قالب HTML و TXT به‌جای می‌گذارد. در این فایل به قربانی زمانی برای پرداخت باج و یک ID منحصربه‌فرد ارائه می‌گردد که به یک پرتال در دارک وب لینک شده است. قربانیان می‌توانند با ID خود یک حساب کاربری بسازند تا با گروه مهاجم مذاکره کنند. طی این مذاکره بعد از پرداخت باج، مهاجم به قربانی کمک می‌کند تا فایل‌های خود را رمزگشایی کند، دسترسی مجدد به سیستم بگیرد، چگونه آسیب‌پذیری شبکه را از بین ببرد و همچنین مهاجم تعهد می‌کند که در آینده به قربانی مجدداً حمله نکند.

راه هایی برای کاهش این خطر پذیری

  1. عدم کلیک بر روی لینک‌های ناشناس و ایمیل‌های مشکوک
  2. آپدیت نگه‌داشتن سیستم‌ها و پچ آسیب‌پذیری
  3. مدیریت و ازبین‌بردن آسیب‌پذیری سیستم‌ها و شبکه
  4. ایجاد Vlan و جداسازی بخش‌های مختلف شبکه

روش های تشخیص این حمله

در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) می‌باشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:

  • مشاهده و جلوگیری از ایجاد دسترسی اولیه از راه دور
  • تشخیص ترافیک مشکوک در سطح شبکه
  • مشاهده فعالیت مشکوک و اقدامات خطرناک بر روی سیستم و شبکه

این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.

شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.

Initial Access Execution Persistence Discovery Exfiltration Impact
Drive-by Compromise AppleScript .bash_profile and .bashrc Account Discovery Automated Exfiltration Account Access Removal
Exploit Public-Facing Application CMSTP Accessibility Features Application Window Discovery Data Compressed Data Destruction
External Remote Services Command and scripting inerpreter Account Manipulation Browser Bookmark Discovery Data Encrypted Data Encrypted for Impact
Hardware Additions Compiled HTML File AppCert DLLs Domain Trust Discovery Data Transfer Size Limits Defacement
Replication Through Removable Media Component Object Model and Distributed COM AppInit DLLs File and Directory Discovery Exfiltration Over Alternative Protocol Disk Content Wipe
Spearphishing Attachment Control Panel Items Application Shimming Network Service Discovery Exfiltration Over Command and Control Channel Disk Structure Wipe
Spearphishing Link Dynamic Data Exchange Authentication Package Network Share Discovery Exfiltration Over Other Network Medium Endpoint Denial of Service
Spearphishing via Service Execution through API BITS Jobs Network Sniffing Exfiltration Over Physical Medium Firmware Corruption
Supply Chain Compromise Execution through Module Load Bootkit Password Policy Discovery Scheduled Transfer Inhibit System Recovery
Trusted Relationship Exploitation for Client Execution Browser Extensions Peripheral Device Discovery Exfiltration over web service Network Denial of Service
Valid Accounts Graphical User Interface Change Default File Association Permission Groups Discovery   Resource Hijacking
  InstallUtil Component Firmware Process Discovery   Runtime Data Manipulation
  Launchctl Component Object Model Hijacking Query Registry   Service Stop
  Local Job Scheduling Create Account Remote System Discovery   Stored Data Manipulation
  LSASS Driver DLL Search Order Hijacking Security Software Discovery   System Shutdown/Reboot
  Mshta Dylib Hijacking Software Discovery   Transmitted Data Manipulation
  PowerShell Emond System Information Discovery    
  Regsvcs/Regasm External Remote Services System Network Configuration Discovery    
  Regsvr32 File System Permissions Weakness System Network Connections Discovery    
  Rundll32 Hidden Files and Directories System Owner/User Discovery    
  Scheduled Task Hooking System Service Discovery    
  Scripting Hypervisor System Time Discovery    
  Service Execution Image File Execution Options Injection Virtualization/Sandbox Evasion    
  Signed Binary Proxy Execution Kernel Modules and Extensions      
  Signed Script Proxy Execution Launch Agent      
  Source Launch Daemon      
  Space after Filename Launchctl      
  Third-party Software LC_LOAD_DYLIB Addition      
  Trap Local Job Scheduling      
  Trusted Developer Utilities Login Item      
  User Execution Logon Scripts      
  Windows Management Instrumentation LSASS Driver      
  Windows Remote Management Modify Existing Service      
  XSL Script Processing Netsh Helper DLL      
    New Service      
    Office Application Startup      
    Path Interception      
    Plist Modification      
    Port Knocking      
    Port Monitors      
    PowerShell Profile      
    Rc.common      
    Re-opened Applications      
    Redundant Access      
    Registry Run Keys / Startup Folder      
    Scheduled Task      
    Screensaver      
    Security Support Provider      
    Server Software Component      
    Service Registry Permissions Weakness      
    Setuid and Setgid      
    Shortcut Modification      
    SIP and Trust Provider Hijacking      
    Startup Items      
    System Firmware      
    Systemd Service      
    Time Providers      
    Trap      
    Valid Accounts      
    Web Shell      
    Windows Management Instrumentation Event Subscription      
    Winlogon Helper DLL      

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.