Ransomware
Erforschung eines Angriffs mit Conti Ransomware
Im Februar 2021 fiel uns über die live casino online Vision One-Plattform eine Serie verd?chtiger Vorf?lle auf, die in Verbindung zu einem Angriff der Conti Ransomware-Bande standen.
Save to Folio
Im Februar 2021 fiel uns über die live casino online Vision One-Plattform eine Serie verd?chtiger Vorf?lle auf, die in Verbindung zu einem Angriff der Conti Ransomware-Bande standen. Conti gilt als Nachfolger der berüchtigten Ryuk Ransomware-Familie. Die Bedrohungsakteure verbreiten die Malware nun zunehmend über dieselben Methoden wie früher Ryuk. So werden jetzt beispielsweise sowohl Trickbot/Emotet als auch BazarLoader für die Verbreitung von Conti verwendet. Wir wollen zeigen, wie Cobalt Strike Beacons (Backdoor.<Architecture>.COBEACON.SMA) dafür verwendet wird und wie die live casino online Vision One Plattform dabei unterstützt, diese Bedrohung zu verfolgen. Wir gehen davon aus, dass Forscher bei ebenfalls auf diese spezielle Gruppe von Bedrohungsakteuren gesto?en sind. Der von ihnen entdeckte Angriff und dieser hier zeigen ?hnlichkeiten in den verwendeten Techniken.
Die Angriffe wurden über das Panel Workbench entdeckt, das sowohl den SOCs der Kundenunternehmen als auch für die MDR-Forscher zug?nglich ist. Es kann verwendet werden, um auf laufende Vorf?lle zu reagieren und den Kontext zu laufenden Sicherheitsuntersuchungen zu erg?nzen.
Das Workbench Panel gab zwei Warnungen für verd?chtige Aktivit?ten aus. Die Angreifer legten erst Stunden sp?ter die Conti Ransomware-Payload ab. Dies registrierte sofort. Die technischen Details liefert der Originalbeitrag.
Fehlender Eingangsvektor
Was nicht sofort klar ersichtlich war, war der Eingangsvektor des Cobalt Strike Beacons. Mit Hilfe der verschiedenen Funktionen von live casino online Vision One gingen wir der Sache auf den Grund. Mit der App Observed Attack Techniques (OAT) stellten wir fest, dass mehrere Endpunkte erst am 11. und 12. Februar dieses Jahres begannen, Daten an live casino online Vision One zu senden. Rückmeldungen aus dem Smart Protect Network deuten auf m?gliche Cobalt Strike Beacon-Erkennungen in derselben Organisation am 4. Februar hin. Dies k?nnte der erste Versuch gewesen sein, die Organisation zu infiltrieren, der zun?chst nicht erfolgreich war.
?ber diesen potenziellen Angriff hinaus konnten wir keine spezifische Methode für den ersten Angriff bestimmen. Der Bedrohungsakteur k?nnte den Angriff auf ungeschützten oder anderweitig nicht überwachten Endpunkten initiiert haben.
Reaktion auf Incident Response
Das Unternehmen reagierte auf den Angriff, indem es weiteren zus?tzlichen Schutz für seinen Endpunkten einrichtete. Der Bedrohungsakteur war sich dessen anscheinend bewusst, und als Reaktion beschloss er, sensible Informationen so schnell wie m?glich wegzuschicken. Die OAT-App zeigte mehrere live casino online Vision One Filter-Treffer im Zusammenhang mit ?Rarely Accessed IP Address“. Beim Aufrufen der Details zeigte sich, wo sie die gestohlenen Daten speichern. Zus?tzliche Cobalt/Cobeacon-Varianten identifizierten wir ein paar Tage nach dem Ransomware-Vorfall. Das zeigt, dass die Angreifer immer noch Zugang zu nicht geschützten Endpunkten hatten.
Cobalt Strike unternahm auch weitere Erkundungen im System:
Die ausführliche technische Beschreibung der Ausbreitung von Cobalt Strike und der Conti-Ransomware finden Sie im Originalbeitrag.
Sicherheitsempfehlungen
Es ist zwar nicht klar, wie diese Bedrohung zuerst ins Opferunternehmen gelangte, aber Conti ist dafür bekannt, Phishing-E-Mails zu benutzen, um Downloader-Malware zu verteilen, die die Ransomware-Nutzlast enth?lt. Sensibilisierung und Schulungen im Umgang mit potenziellen Social-Engineering-Risiken helfen, das Risiko zu verringern.
Die umfassende XDR-L?sung wendet die effektivsten Expertenanalysen auf die Deep Data-S?tze an, die im gesamten Unternehmen gesammelt werden – einschlie?lich der Bereiche E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. So werden schneller Verbindungen hergestellt, um Angriffe zu identifizieren und zu stoppen. Leistungsstarke künstliche Intelligenz (KI) und Sicherheitsexperten-Analysen korrelieren Daten aus Kundenumgebungen mit den globalen Bedrohungsdaten von live casino online, um weniger und pr?zisere Warnungen zu liefern, was zu einer besseren, frühzeitigen Erkennung führt. Eine Konsole mit einer einzigen Quelle für priorisierte, optimierte Alarme, unterstützt durch geleitete Untersuchungen, vereinfacht die Schritte, die erforderlich sind, um den Angriffspfad und die Auswirkungen auf das Unternehmen vollst?ndig zu verstehen.