عامل تهدید جدیدی به نام INC. Ransomware که در ماه July سال ۲۰۲۳ شاهد فعالیت آن بودیم، بهعنوان یک گروه باجافزاری فعالیت خود را شروع کرده است. این گروه موقعیت خود را بهعنوان ارائهدهنده خدمات به قربانیان خود معرفی میکند، با عنوان اینکه بعد از پرداخت باج از آسیبپذیریهای سیستم و شبکه خود مطلع میشود. INC.Ransomware برای دریافت باج از روشهای مختلفی از جمله سرقت اطلاعات و انتشار آن به شکل عمومی (برعکس سایر گروههای باجافزاری که دیتا را رمزنگاری و در صورت عدم پرداخت باج، فایلها را حذف میکردند) استفاده میکند.
گروه باجافزاری INC. Ransomware، انواع صنایع واقع در کشورهای غربی از جمله کشورهای اروپایی و آمریکا را هدف قرار میدهد. از جمله این صنایع میتوان صناع پزشکی و دارویی، آموزشی و حتی ارگانهای دولتی را نام برد.
این گروه باجافزاری برای گرفتن دسترسی اولیه از روشها مختلفی بسته به هدف خود استفاده میکند. این روشها میتوانند به شکل Spear-Phishing یا هدف قراردادن سرویسهای آسیبپذیر، از جمله سو استفاده از CVE-2023-3519 در Citrix NetScaler را نام برد. بعد از گرفتن دسترسی اولیه با استفاده از انواع COTS یا LOLBIN ها اقدام به شناسایی شبکه داخلی میکند و از آن برای Lateral Movement استفاده میکند. ابزارهای مورداستفاده این گروه طی این پروسه شامل موارد زیر است:
- Netscan.exe
- MegasyncSetup64.exe
- Esentutl.exe
- Anydesk.exe
پیلودهای INC.Ransomware از تعدادی دستورات تحت ترمینال برای انجام عملیات از طریق سرور C2 استفاده می کند. این دستورات برای رمزنگاری یک فایل خاص، یک مسیر خاص، رمزنگاری فایل های اشتراک گذاشته شده در شبکه، رمزنگاری فایل های پنهان شده در سیستم، قابلیت دیباگ و اتمام پروسه محدود می شود. همین مورد نشان می دهد که مهاجم تمام سیستم را رمزنگاری نمی کند و فقط بخشی از اطلاعات مهم رمزنگاری می شود. همانطور که مشخص است این باج افزار فقط بخشی از سیستم و اطلاعاتی که مد نظر قرار داده را رمزنگاری می کند.
بعد از رمزنگاری و انجام عملیات، فایل یادداشت یا Ransome Note (فایل یادداشتی که باجافزار برای قربانی باقی میگذارد تا از طریق مشخصات اعلام شده در زمان مدنظر باج را به مهاجم پرداخت کند.) را در هر دو قالب HTML و TXT بهجای میگذارد. در این فایل به قربانی زمانی برای پرداخت باج و یک ID منحصربهفرد ارائه میگردد که به یک پرتال در دارک وب لینک شده است. قربانیان میتوانند با ID خود یک حساب کاربری بسازند تا با گروه مهاجم مذاکره کنند. طی این مذاکره بعد از پرداخت باج، مهاجم به قربانی کمک میکند تا فایلهای خود را رمزگشایی کند، دسترسی مجدد به سیستم بگیرد، چگونه آسیبپذیری شبکه را از بین ببرد و همچنین مهاجم تعهد میکند که در آینده به قربانی مجدداً حمله نکند.
راه هایی برای کاهش این خطر پذیری
- عدم کلیک بر روی لینکهای ناشناس و ایمیلهای مشکوک
- آپدیت نگهداشتن سیستمها و پچ آسیبپذیری
- مدیریت و ازبینبردن آسیبپذیری سیستمها و شبکه
- ایجاد Vlan و جداسازی بخشهای مختلف شبکه
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده و جلوگیری از ایجاد دسترسی اولیه از راه دور
- تشخیص ترافیک مشکوک در سطح شبکه
- مشاهده فعالیت مشکوک و اقدامات خطرناک بر روی سیستم و شبکه
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
Initial Access | Execution | Persistence | Discovery | Exfiltration | Impact |
Drive-by Compromise | AppleScript | .bash_profile and .bashrc | Account Discovery | Automated Exfiltration | Account Access Removal |
Exploit Public-Facing Application | CMSTP | Accessibility Features | Application Window Discovery | Data Compressed | Data Destruction |
External Remote Services | Command and scripting inerpreter | Account Manipulation | Browser Bookmark Discovery | Data Encrypted | Data Encrypted for Impact |
Hardware Additions | Compiled HTML File | AppCert DLLs | Domain Trust Discovery | Data Transfer Size Limits | Defacement |
Replication Through Removable Media | Component Object Model and Distributed COM | AppInit DLLs | File and Directory Discovery | Exfiltration Over Alternative Protocol | Disk Content Wipe |
Spearphishing Attachment | Control Panel Items | Application Shimming | Network Service Discovery | Exfiltration Over Command and Control Channel | Disk Structure Wipe |
Spearphishing Link | Dynamic Data Exchange | Authentication Package | Network Share Discovery | Exfiltration Over Other Network Medium | Endpoint Denial of Service |
Spearphishing via Service | Execution through API | BITS Jobs | Network Sniffing | Exfiltration Over Physical Medium | Firmware Corruption |
Supply Chain Compromise | Execution through Module Load | Bootkit | Password Policy Discovery | Scheduled Transfer | Inhibit System Recovery |
Trusted Relationship | Exploitation for Client Execution | Browser Extensions | Peripheral Device Discovery | Exfiltration over web service | Network Denial of Service |
Valid Accounts | Graphical User Interface | Change Default File Association | Permission Groups Discovery | Resource Hijacking | |
InstallUtil | Component Firmware | Process Discovery | Runtime Data Manipulation | ||
Launchctl | Component Object Model Hijacking | Query Registry | Service Stop | ||
Local Job Scheduling | Create Account | Remote System Discovery | Stored Data Manipulation | ||
LSASS Driver | DLL Search Order Hijacking | Security Software Discovery | System Shutdown/Reboot | ||
Mshta | Dylib Hijacking | Software Discovery | Transmitted Data Manipulation | ||
PowerShell | Emond | System Information Discovery | |||
Regsvcs/Regasm | External Remote Services | System Network Configuration Discovery | |||
Regsvr32 | File System Permissions Weakness | System Network Connections Discovery | |||
Rundll32 | Hidden Files and Directories | System Owner/User Discovery | |||
Scheduled Task | Hooking | System Service Discovery | |||
Scripting | Hypervisor | System Time Discovery | |||
Service Execution | Image File Execution Options Injection | Virtualization/Sandbox Evasion | |||
Signed Binary Proxy Execution | Kernel Modules and Extensions | ||||
Signed Script Proxy Execution | Launch Agent | ||||
Source | Launch Daemon | ||||
Space after Filename | Launchctl | ||||
Third-party Software | LC_LOAD_DYLIB Addition | ||||
Trap | Local Job Scheduling | ||||
Trusted Developer Utilities | Login Item | ||||
User Execution | Logon Scripts | ||||
Windows Management Instrumentation | LSASS Driver | ||||
Windows Remote Management | Modify Existing Service | ||||
XSL Script Processing | Netsh Helper DLL | ||||
New Service | |||||
Office Application Startup | |||||
Path Interception | |||||
Plist Modification | |||||
Port Knocking | |||||
Port Monitors | |||||
PowerShell Profile | |||||
Rc.common | |||||
Re-opened Applications | |||||
Redundant Access | |||||
Registry Run Keys / Startup Folder | |||||
Scheduled Task | |||||
Screensaver | |||||
Security Support Provider | |||||
Server Software Component | |||||
Service Registry Permissions Weakness | |||||
Setuid and Setgid | |||||
Shortcut Modification | |||||
SIP and Trust Provider Hijacking | |||||
Startup Items | |||||
System Firmware | |||||
Systemd Service | |||||
Time Providers | |||||
Trap | |||||
Valid Accounts | |||||
Web Shell | |||||
Windows Management Instrumentation Event Subscription | |||||
Winlogon Helper DLL | |||||
منابع
INC (.INC) ransomware virus – removal and decryption options- https://www.pcrisk.com/removal-guides/27497-inc-ransomware - September 2023
INC Ransomware Group Broadens Reach, Targets 7 New Victims- https://thecyberexpress.com/inc-ransomware-group-target-7-new-victims/ - November 2023
How the fledgling INC ransomware gang struck one victim- https://www.itworldcanada.com/article/how-the-fledgling-inc-ransomware-gang-struck-one-victim/544757 - August 2023