Tack till Bill Kearney från Sophos Rapid Response för hans arbete med den här artikeln.
Om du har läst den senaste Sophos 2021 Threat Report vet du att vi medvetet inkluderade ett avsnitt om all skadlig kod som inte är utpressningstrojaner.
Säkerligen, ransomware tar förståeligt nog upp rubrikerna i media dessa dagar, men cyberkriminalitet sträcker sig långt bortom ransomware-attacker.
Som vi har noterat tidigare sker många ransomware-incidenter på grund av annan skadlig kod som infiltrerade ditt nätverk först och förde in ransomware senare.
I själva verket involverar många nätverksintrång inte skadlig kod alls, eftersom cyberkriminella har gott om andra sätt att blöda pengar ur dina användare, ditt företag eller båda.
Här är ett exempel som Sophos Rapid Response-team stötte på nyligen – ett opportunistiskt nätverksintrång som var mycket mindre sofistikerat än en typisk ransomware- eller datastöldattack, men som ändå var farligt och oroväckande.
Och värre för de anställda i företaget, dessa skurkar var inte specifikt ute efter företaget som helhet, utan verkade angripa nätverket helt enkelt för att det utgjorde ett bekvämt sätt att hacka sig in på många individer på samma gång.
Väldigt enkelt uttryckt var skurkarna ute efter så många konton som de kunde komma åt för att köpa så många presentkort som möjligt så snabbt som möjligt.
Som du säkert vet levereras presentkort som du köper på nätet vanligtvis via e-post till en mottagare som du väljer i form av en hemlig kod och en registreringslänk.
Att få en presentkortskod är alltså lite som att få tag på nummer, utgångsdatum och säkerhetskod från ett förbetalt kreditkort – löst uttryckt kan den som har koden spendera den.
Och även om presentkort endast är avsedda att användas av den avsedda mottagaren – de ska inte kunna överlåtas – finns det inte mycket som hindrar mottagaren från att låta någon annan använda dem om han eller hon vill, och det innebär att de kan säljas på internetkriminalitetens underwebb.
Och trots att ett presentkort på 200 dollar som säljs olagligt på nätet för till exempel hälften av sitt nominella värde inte låter som mycket…
…kan skurkar med tillgång till ett helt företags användare – i den här historien stödde företagets VPN cirka 200 personer – försöka skaffa sig inte bara ett, utan potentiellt hundratals förbetalda presentkort på kort tid.
Kriminella i det här fallet brydde sig inte om huruvida offren som blev utan pengar var enskilda anställda, företaget självt eller båda.
Rumlade och avvisade
Den goda nyheten här är att skurkarna bara kom så långt som till att spendera 800 dollar av andras pengar innan Rapid Response-teamet kunde sparka ut dem ur nätverket, och såvitt vi vet upptäcktes de bedrägliga inköpen och återkallades i tid så att ingen hamnade i kläm.
Som du kommer att se var huvudorsaken till att skurkarna blev avslöjade och avvisade tidigt att en systemadministratör på det drabbade företaget agerade så fort de upptäckte att något var fel.
Om du såg förra veckans Naked Security Live-video med titeln ”Beat the Threat” vet du att vi i våra tips i slutet av videon sa:
Varje tips du kan få som tyder på att en skurk kan befinna sig i ditt nätverk är ett tips som är värt att ta hänsyn till. eftersom du tittar på något som du inte riktigt kan rättfärdiga, men som du har sett förut och som var okej förra gången – anta inte att det är okej den här gången. Det är lite som att höra rökvarnaren gå igång i köket och tänka: ”Vet du vad, förra gången var det ånga från vattenkokaren som utlöste den av misstag, så jag antar att det är det som händer .”. Den här gången kan det vara något på spisen som redan har börjat brinna.
Vi är stolta över att Sophos Rapid Response-team kunde reagera snabbt och hantera attacken, men det viktigaste var att offret snabbt utlöste ett korrekt svar från början.
Hur det hände
De här skurkarna hade inte tid att städa upp efter sig – eller kanske de inte hade för avsikt att göra det i alla fall – men såvitt vi kan se gick attacken enkelt och snabbt.
Vi kan inte vara säkra på exakt hur skurkarna tog sig in till att börja med, men vad vi vet är:
- Offrets VPN-server hade inte patchat på flera månader. Enbart detta kan ha varit tillräckligt för att skurkarna skulle kunna bryta sig in – det fanns en exploit för den gamla versionen som i teorin kunde ha gjort det möjligt för skurkarna att smyga sig in i nätverket.
- VPN-servern hade inte ställts in så att den krävde 2FA. Detta innebär att ett lyckat lösenord som phishing från en enskild användare kan ha varit tillräckligt för att ge dem sitt strandhuvud. (Trots den okorrigerade sårbarheten misstänker vi att det var så angriparna tog sig in den här gången.)
- När de väl var ”inne” i VPN-systemet kunde skurkarna använda RDP internt för att hoppa från dator till dator. Detta innebar att de kunde öppna webbläsare på användarnas datorer och se vilka onlinekonton de inte hade loggat ut från, inklusive deras personliga e-postkonton (t.ex. Gmail och Outlook.com). Se till att du säkrar RDP lika stabilt inifrån ditt nätverk som utifrån.
- Gärningsmännen använde enskilda e-postkonton för att göra en rad lösenordsnyanser. På datorer där skurkarna kunde få tillgång till e-postkonton på grund av cachade autentiseringsuppgifter, men inte kunde komma in på andra intressanta konton eftersom användaren var utloggad från dessa, gjorde de lösenordsåterställningar via e-postkontot. De konton som skurkarna gav sig på var bland annat Best Buy, Facebook, Google Pay, PayPal, Venmo och Walmart.
Tyvärr verkar det som om endast ett fåtal av de användare som angreps på detta sätt hade sparat sina kreditkortsuppgifter för automatisk återanvändning vid köp, vilket troligen är anledningen till att skurkarna bara lyckades göra presentkortsköp för ett par hundra dollar innan de upptäcktes.
Oppenbarligen märkte många användare som behövde återställa sina ändrade lösenord för att komma tillbaka till sina konton att det fanns presentkort som stod i kö för köp i deras kundvagnar på nätet, men att skurkarna inte hade lyckats slutföra dessa köp.
(Vi kan inte avgöra om skurkarna lämnade kvar de misslyckade köpen för att de åkte fast innan de hann städa upp, för att de hoppades att de skulle förbises och köpas av misstag av den legitima kontoinnehavaren senare, eller för att de var fokuserade på snabbhet och inte brydde sig om vad som hände efteråt.)
Men det finns mer
Som många attacker hade den här attacken inte bara ett enda syfte, även om att få tag på ”pengar till salu” verkar ha varit det främsta motivet här.
Girurgerna laddade också ner och installerade ett populärt gratis filsökverktyg för att hjälpa dem att leta efter intressanta filer i nätverket.
Detta verktyg lämnade efter sig en loggfil som avslöjar att brottslingarna aktivt var på jakt efter personliga och konfidentiella uppgifter som rörde både företaget och dess personal.
Vi vet inte hur mycket de kriminella kunde skaffa sig från filerna de jagade, om något, men vi vet vad de var intresserade av, vilket inkluderade:
- Bankutdrag som rörde individer och företaget.
- Handlaravtal för att ta emot kreditkortsbetalningar.
- Kreditkortsansökningar.
- Registreringsuppgifter för företagets förare.
Såvitt vi kan se verkar filsökningen ha varit av sekundärt intresse för dessa brottslingar, som dock var fast beslutna och ihärdiga i sina försök att göra bedrägliga köp mot så många användare av nätverket som möjligt.
Närmast, sekundärt intresse eller inte, var skurkarna inte bara ute efter presentkort.
Person- och företagsuppgifter som är tänkta att vara privata har trots allt också ett värde i cyberbrottslighetens underjordiska värld – inte bara för att säljas vidare till andra brottslingar, utan också som ett medel för att hjälpa till med ytterligare brottslig verksamhet.
Snabb reaktion lönar sig
Tyvärr verkar dessa skurkar ha kört fast tidigt i sin attack.
Förmodligen frustrerade över att de inte kunde ta sig in på så många användares e-postkonton som de ville, återställde de lösenord på olika företagsrelaterade konton för att utöka sin tillgång.
Detta hade som bieffekt att användare, inklusive en av systemadministratörerna, blev utestängda från olika företagssystem…
…och systemadministratören avhjälpte inte bara det omedelbara problemet för att åtgärda vadet , utan utlöste också en reaktion för att ta reda på varför.
Den reaktionen ledde mycket snabbt till att skurkarna blev utsparkade från nätverket.
Som vi sa ovan är varje tips ett bra tips!
Vad ska man göra?
Hastigheten och beslutsamheten hos dessa skurkar, som spekulativt loggade in på e-postkonto efter e-postkonto, är en utmärkt påminnelse om varför det är viktigt med ett försvar på djupet.
Alla dessa tips skulle ha hjälpt här:
- Patch early, patch often. Den sårbara VPN som nämns i den här artikeln var förmodligen inte det sätt som skurkarna fick tillgång i det här fallet, men det var en möjlig väg inåt ändå. Varför ligga bakom skurkarna när du kan ligga före i stället?
- Använd 2FA när du kan. En andra autentiseringsfaktor för både den externa VPN-servicen och de interna RDP-servrarna hade kanske räckt för att hålla skurkarna borta.
- Logga ut från konton när du inte använder dem. Ja, det är besvärligt att logga in på konton igen varje gång du behöver använda dem, men i kombination med 2FA gör det mycket svårare för skurkar att utnyttja dig om de får tillgång till din webbläsare.
- Ompröva vilka webbplatser du tillåter att behålla betalkortsuppgifter online nästa gång. Företag som endast sparar betalkortsuppgifter för specifika köp, t.ex. betalning av en elräkning, utgör en mycket lägre risk än onlinetjänster via vilka ditt kort kan användas för att betala för nästan vad som helst, särskilt för varor som ”levereras” omedelbart via e-post.
- Blockera inte enbart skadlig kod med din skyddsprodukt mot hot. Blockera även potentiellt oönskade program (PUA) och hackerverktyg. Cyberkriminella vänder sig allt oftare till legitima programvaror för cybersäkerhet och nätverkshantering som du redan har på ditt system, i stället för att använda skadlig kod – en teknik som kallas ”living off the land” – i hopp om att se ut som sysadmins själva. Fånga dem om du kan.
- Ha någonstans där användarna kan rapportera säkerhetsproblem. Om du oväntat blir utelåst från ditt eget konto, se till att din reaktion inte bara är ”jag måste komma upp på nätet igen” utan också ”jag måste hitta den bakomliggande orsaken”. En lätt ihågkommen e-postadress eller ett företagsnummer för rapporter om cybersäkerhet kan hjälpa dig att göra hela företaget till ögon och öron för IT-säkerhetsteamet.
- Håll dina användare uppmärksamma på de senaste trenderna inom nätfiske. Överväg en utbildningsprodukt mot nätfiske som Sophos Phish Threat. Vi kan ännu inte vara säkra, men det ser ut som om ett enda phishat lösenord kan ha varit hur skurkarna kom igång med dessa attacker.
- Låt dig inte distraheras av specifika hot som utpressningstrojaner. Ransomware-specifika verktyg är användbara som en del av ett försvar på djupet, men skulle inte ha stoppat den här attacken på egen hand. Ett holistiskt tillvägagångssätt som skulle ha blockerat dessa skurkar skulle dock med stor sannolikhet ha stoppat majoriteten av attacker med utpressningstrojaner också.