Sophos X-Ops在報告中稱某汽車供應商的系統(tǒng)在5月的兩周內(nèi)被三個不同的勒索軟件團伙入侵，文件遭多重加密，其中兩次攻擊發(fā)生的間隔甚至是在兩小時內(nèi)。

在這些攻擊之前，2021年12月，一個可能的初始訪問代理（IAB）對該公司的系統(tǒng)進行了初步入侵，攻擊者利用防火墻的錯誤配置，使用遠程桌面協(xié)議（RDP）連接入侵域控制器服務器。

Sophos X-Ops在本周三發(fā)布的報告稱雖然雙重勒索軟件攻擊越來越常見，但這是他們看到的第一起三個獨立的勒索軟件攻擊者使用同一個入口點來攻擊一個組織的事件。

兩個月內(nèi)三次被攻破

在最初的入侵之后，LockBit、Hive和ALPHV/BlackCat的附屬攻擊組織也分別在4月20日、5月1日和5月15日進入了受害者的網(wǎng)絡。

5月1日，LockBit和Hive勒索軟件的有效載荷在兩小時內(nèi)利用合法的PsExec和PDQ Deploy工具在整個網(wǎng)絡中分發(fā)，在每次攻擊中加密了十多個系統(tǒng)，與LockBit關聯(lián)的攻擊組織還竊取了數(shù)據(jù)并將其外流到Mega云存儲服務。

Sophos X-Ops 在報告中對事件細節(jié)進行了補充，其表示由于Hive攻擊是在Lockbit之后2小時開始的，Lockbit勒索軟件仍在運行，因此這兩個小組不斷發(fā)現(xiàn)沒有標志著它們被加密的擴展名的文件。

兩周后，5月15日，當這家汽車供應商的IT團隊仍在恢復系統(tǒng)時，一個BlackCat攻擊者也連接到了被LockBit和Hive入侵的同一管理服務器。在安裝了合法的Atera Agent遠程訪問解決方案后，攻擊者獲得了網(wǎng)絡上的持久性，并滲出了被盜數(shù)據(jù)。

在半小時內(nèi)，BlackCat的附屬攻擊機構在網(wǎng)絡上使用PsExec交付了自己的勒索軟件有效載荷，在使用被攻擊的憑證在網(wǎng)絡上橫向移動后，加密了六臺機器。

攻擊時間線

通過刪除影子副本和清除被攻擊系統(tǒng)上的Windows事件日志，這個最后的攻擊者也使恢復嘗試和Sophos團隊的事件響應工作變得復雜。

BlackCat刪除了Sophos可以用來追溯這三個勒索軟件團伙在受害者網(wǎng)絡中活動的證據(jù)。

Sophos的事件響應人員在5月中旬協(xié)助受害者進行攻擊調(diào)查時，發(fā)現(xiàn)文件被Lockbit、Hive和BlackCat勒索軟件加密了三次，并在被加密的系統(tǒng)上發(fā)現(xiàn)了三種不同的贖金筆記。

“事實上，正如下面的截圖所示，一些文件甚至被加密了五次，”Sophos團隊向外界透露稱。“因為Hive攻擊是在Lockbit之后2小時開始的，Lockbit勒索軟件仍在運行，所以這兩個小組不斷發(fā)現(xiàn)沒有標志著它們被加密的擴展的文件。”

被加密了5次的文件

如何抵御勒索軟件

Sophos還發(fā)布了一份白皮書，分享了關于防御來自多個勒索軟件團伙的類似攻擊的指導。

建議企業(yè)保持其系統(tǒng)的最新狀態(tài)，并調(diào)查其環(huán)境中是否有威脅者引入的后門或漏洞，作為失敗的保障，以便在被驅(qū)逐時重新獲得對網(wǎng)絡的訪問。

Sophos還建議鎖定VNC和RDP等服務或從外部訪問的遠程訪問解決方案。如果需要遠程訪問，系統(tǒng)只能通過VPN到達，并且只能通過具有強制多因素認證（MFA）和強密碼的賬戶。網(wǎng)絡也應該被分割，將關鍵的服務器分離到VLAN中，整個網(wǎng)絡都應該被掃描和審計，以及時發(fā)現(xiàn)未打補丁和有漏洞的設備。

消息來源：https://www.bleepingcomputer.com/news/security/automotive-supplier-breached-by-3-ransomware-gangs-in-2-weeks/