Utilizzo di Vectra per rilevare e bloccare Maze Ransomware

5 agosto 2020
Vectra AI Team di ricerca sulla sicurezza
Sicurezza informatica
Utilizzo di Vectra per rilevare e bloccare Maze Ransomware

Il ransomware Maze, originariamente noto come "ChaCha ransomware", è stato scoperto per la prima volta il 29 maggio 2019 da Jerome Segura. Maze ha rapidamente guadagnato notorietà per il suo approccio innovativo agli attacchi ransomware, combinando la crittografia dei dati con il loro furto, una tattica che è diventata nota come doppia estorsione. Gli aggressori non solo crittografavano i dati, ma li rubavano anche, minacciando di rendere pubbliche le informazioni rubate se non veniva pagato il riscatto.

Sebbene Maze abbia annunciato il suo ritiro alla fine del 2020, il panorama delle minacce continua a essere influenzato dalle tecniche di cui è stato pioniere. Infatti, nel giugno 2020, i criminali dietro Maze si sono uniti ad altri due gruppi di ransomware: LockBit e RagnarLocker. Questa collaborazione tra gruppi di ransomware ha rappresentato uno sviluppo significativo, in quanto ha dimostrato come diversi attori delle minacce si stiano coordinando per amplificare il loro impatto. Questa evoluzione sottolinea l'importanza di migliorare continuamente le strategie di rilevamento e mitigazione.

Per informazioni più dettagliate sul ransomware LockBit, visitate la pagina pagina LockBit per scoprire come Vectra AI aiuta a rilevare e rispondere a queste minacce.

Come funziona Maze Ransomware?

Maze opera come molte altre famiglie di ransomware, ma fa un passo avanti utilizzando una doppia estorsione. Oltre a criptare i dati, Maze esfiltra le informazioni sensibili su server controllati dagli aggressori. Se le vittime non pagano il riscatto, gli aggressori minacciano di far trapelare i dati rubati. Questo modello è stato adottato da altri gruppi di ransomware di spicco, come REvil (Sodinokibi) e Clop, che hanno perfezionato queste tattiche per ottenere la massima leva.

Maze, LockBit e RagnarLocker si basano su tecniche sofisticate, tra cui la crittografia del comando e del controllo (C2). comando e controllo (C2), l'inganno canali criptati di comando e controllo (C2), l'inganno e l'uso di funzioni native di Windows per eludere il rilevamento da parte degli strumenti di sicurezza tradizionali. I modelli basati sul comportamento di Vectra AI rilevano queste minacce in modo coerente perché si concentrano sui comportamenti degli aggressori, non sulle firme statiche. Mentre l'infrastruttura e gli strumenti degli aggressori possono cambiare, i loro comportamenti, come la ricognizione, il movimento laterale e l'esfiltrazione dei dati, rimangono più stabili, consentendo a Vectra di rilevare sia Maze che altre minacce ransomware in evoluzione.

Come si presenta un moderno attacco Ransomware?

Iniziamo con l'esaminare la cronologia comune di un moderno attacco ransomware:

  • L'organizzazione è compromessa da un'e-mail di spear phishing
  • Viene stabilito il C2
  • L'eseguibile viene abbandonato e l'attore della minaccia ha un lungo periodo di tempo in cui si verifica il furto di credenziali e altre ricognizioni localizzate.
  • Ulteriori strumenti vengono scaricati sull'host, come psexec, Cobaltstrike, Empire, ADFind.
  • Strumenti di ricognizione eseguiti e risultati raccolti
  • L'attore della minaccia copia i payload su bersagli nell'ambiente
  • I processi vengono interrotti mentre si verifica l'evasione difensiva e la crittografia.
  • L'abbandono della richiesta di riscatto
  • Esfiltrazione dei dati tramite C2 o TOR

Dal punto di vista del SOC, semplifichiamo questo aspetto e lo distilliamo in cinque fasi osservabili.

  1. L'aggressore ottiene un punto d'appoggio nell'azienda presa di mira
  2. L'attaccante esegue una ricognizione per trovare informazioni di interesse o password che possano consentire un movimento laterale nella rete o l'escalation dei privilegi.
  3. Movimento laterale per controllare la maggior parte degli ospiti
  4. Estrazione di dati sensibili
  5. Infine, il dispiegamento e l'esecuzione del ransomware Maze verso i canali precedentemente creati

Si noti che questi passaggi possono essere presenti o meno, a seconda dell'attore. Poiché le tecniche variano, i potenziali rilevamenti elencati di seguito non possono essere considerati certi. Si noti inoltre che alcune persone possono semplicemente aprire un campione di Maze per sbaglio e infettarsi, il che farebbe scattare solo il rilevamento del ransomware, poiché non viene eseguita alcuna interazione all'interno di un canale C2.

In che modo Vectra AI può individuare Maze e le sue varianti?

Vectra rileva le infezioni attive da ransomware Maze e le varianti più recenti come LockBit e RagnarLocker. Prima di criptare i dati, il ransomware deve effettuare una ricognizione interna per individuare i file sensibili e le condivisioni di rete. Questo comportamento viene rilevato dai modelli di minaccia di Vectra , basati sull'intelligenza artificiale, che classificano tutti i comportamenti associati agli host compromessi.

Ai rischi critici, come le infezioni da ransomware, vengono assegnati i punteggi più alti di minaccia e certezza, dando loro la priorità per un'indagine immediata da parte dei team SOC. Inoltre, i clienti di Vectra disponevano di questa capacità di rilevamento prima che Maze e le sue varianti colpissero, dimostrando il vantaggio del rilevamento proattivo delle minacce.

Progressione dell'attacco del labirinto: Cosa aspettarsi

Diamo un'occhiata più da vicino alla timeline di un comune attacco ransomware, utilizzando Maze come modello:

L'anatomia di un attacco Maze Ransomware
L'anatomia di un attacco Maze Ransomware

Fase 1 - Compromesso iniziale

Per la compromissione iniziale, alcune campagne iniziano con documenti dannosi, utilizzati per lanciare un'istanza di cobalt strike al fine di ottenere il controllo remoto del "paziente zero". Diversi casi riportati provengono da una compromissione diretta, da parte dell'attore, utilizzando credenziali rubate, sfruttamento di software vulnerabili o password deboli su dispositivi rivolti a Internet. Lo strumento più utilizzato per prendere il controllo del paziente zero sembra essere CobaltStrike.

Passo 2 - Riconoscimento ed escalation dei privilegi

Gli attori hanno talvolta utilizzato l'escalation dei privilegi per poter eseguire e distribuire il ransomware, spostarsi lateralmente o scoprire file interessanti. Questa fase dell'attacco comprende il comportamento di ricognizione.

  • Questo può essere fatto usando mimikatz localmente.
  • L'attore può cercare i file con la parola "password", il che può innescare l'enumerazione della condivisione dei file.
  • Sono stati segnalati alcuni utilizzi della funzione di enumerazione/ricognizione dello strumento BloodHound, per consentire all'attaccante di trovare gli host di interesse e comprendere meglio l'architettura dell'obiettivo.
  • Sono stati segnalati molti strumenti diversi per la fase di ricognizione, ma tutti hanno lo stesso obiettivo: capire l'architettura della rete, i luoghi in cui ci si può muovere, dove trovare gli account che possono aiutare a muoversi ulteriormente....
  • Tutti questi comportamenti potrebbero innescare i nostri rilevamenti, come la scansione delle porte, la scansione darknet interna, la query LDAP sospetta, l'enumerazione di file share e così via - potete accedere all'elenco completo dei nostri rilevamenti qui.

Una volta che l'aggressore ha preso piede nell'ambiente dell'obiettivo, vengono effettuati diversi tentativi di ricognizione e di spostamento laterale verso altri obiettivi.

L'immagine seguente mostra chiaramente questo comportamento, con l'IP 10.50.2.103 come punto di ingresso principale, che mostra un movimento laterale e un comportamento significativo di ricognizione.

schermata che mostra il movimento laterale e un comportamento significativo di ricognizione

Fase 3 - Movimento laterale

Per quanto riguarda il movimento laterale, gli attaccanti sfruttano soprattutto l'attacco Cobalt dal loro punto d'appoggio iniziale.

  • Alcuni attori si creano un account sul dominio infetto. Questa azione potrebbe creare anomalie nell'accesso ai privilegi, come ad esempio Anomalia dei privilegi: account insolito sull'host
  • Nel caso in cui venga eseguito uno sfruttamento come quello di psexec per spostarsi lateralmente utilizzando lo strumento, l'esecuzione remota sospetta è suscettibile di incendio.
  • In questo caso, alcuni attori hanno utilizzato RDP, RDP sospetto e RDP Recon sono suscettibili di attivazione. È stato segnalato un attore che ha utilizzato un tunnel per RDP, che potrebbe essere indicato come Relay sospetto, a seconda del metodo utilizzato dall'attaccante.

Nel dettaglio dell'esecuzione remota sospetta, vediamo che l'aggressore utilizza psexec per gestire i servizi negli host vicini.

Esecuzione remota sospetta

Fase 4 - Esfiltrazione

Infine, diversi casi mostrano tentativi di esfiltrazione, prima della crittografia da parte di maze, che avvengono in vari modi, per lo più verso ftp o servizi di cloud hosting.

  • A seconda del volume dei file esfiltrati, Data smuggler e Smash and Grab potrebbero attivare
  • Nel caso in cui l'attaccante decida di esfiltrare i dati da un sito SharePoint, possiamo aspettarci un rilevamento O365 di "volume insolito" ;)
Si noti che prima dell'esplosione del ransomware stesso, l'host pc4 ha subito tentativi di accesso remoto esterno e di esfiltrazione Smash andGrab, che fa parte della catena di exploit.

Si noti che prima dell'esplosione del ransomware stesso, l'host pc4 ha subito tentativi di accesso remoto esterno e di esfiltrazione Smash andGrab, che fa parte della catena di exploit.

L'accesso remoto esterno è sempre un forte indicatore di un avversario esterno se combinato con i rilevamenti di ricognizione. Nei dettagli del rilevamento si trova il tipo di applicazione C2, in questo caso Teamviewer. Gli avvisi C2 devono sempre essere analizzati per escludere le minacce. Non affidatevi esclusivamente alle informazioni sulle minacce, ma considerate un ambito di attività più ampio. Chiedetevi:

  • L'host esegue anche la ricognizione?
  • Ci sono attività di account sospette sull'host?
  • La destinazione è logica (in questo caso un IP nei Paesi Bassi)?
  • Il rilevamento e la risposta endpoint (EDR) hanno attivato qualche avviso?
Console di accesso remoto esterna

Passo 5 - Ransomware

Il ransomware Maze viene quindi distribuito tramite canali. Questo ovviamente innesca l'attività dei file ransomware, come mostrato di seguito.

Maze Ransomware Screenshot

Per quanto riguarda il rilevamento del ransomware, la vista del rilevamento mostra il numero di file colpiti e i nomi delle azioni. Viene anche indicata la nota del ransomware, che può aiutare a identificare alcune famiglie di malware in base al suo nome:

Rilevamento di Maze Ransomware Screenshot
Rilevamento di Maze Ransomware Screenshot

Utilizzo Recall possiamo vedere chiaramente che al momento dell'attacco sono state avviate alcune sessioni esterne:

sessioni esterne avviate che mostrano l'attacco Maze Ransomware
sessioni esterne avviate che mostrano l'attacco Maze Ransomware

Rapporto post-incidente: 5 passi per identificare un attacco Ransomware Actual Maze

Di seguito è riportata una sintesi di un rapporto post incidente che mostra le misure adottate per identificare gli indicatori precoci di un attacco ransomware e prevenire la crittografia delle condivisioni di file di rete.

Vectra è stata autorizzata a pubblicare questo rapporto post-incidente garantendo l'anonimato e proteggendo i dati privati del cliente. Questo tipo di rapporto viene normalmente mantenuto riservato solo per analisi interne.

  1. All'interno della rete compromessa, il giorno 1 settimana prima della prevista esplosione del ransomware, il team di analisti di Vectra Consulting ha rilevato comportamenti di ricognizione e movimento laterale inequivocabili. Queste fasi del ciclo di vita dell'attacco indicavano che l'aggressore era alla ricerca di sistemi critici da compromettere prima di criptare le condivisioni di file di rete per ottenere il riscatto.
  2. Vectra ha mostrato che le scansioni provenivano da un'ampia gamma di host e che altre scansioni erano legate ad attività di ransomware, in quanto venivano enumerate le condivisioni di file di rete.
  3. Scoprendo ulteriori prove, Vectra ha osservato che un host compromesso comunicava con un indirizzo IP maligno noto in Ucraina, associato al malware Sodinokibi.
  4. Le connessioni esterne sono state eseguite con successo a un indirizzo IP ucraino con un trasferimento di dati di circa 80 MB.
  5. Il numero di rilevamenti identificati da Vectra era preoccupante a causa dell'enorme volume di dati inviati all'esterno.

Ulteriori informazioni fornite dal cliente hanno collegato l'attacco al ransomware Maze.

Guarda questo rapporto post-incidente che mostra l'importanza di un rilevamento precoce degli attacchi informatici per evitare danni e violazioni catastrofiche dei dati. Con certezza e precisione, è fondamentale identificare i comportamenti precursori delle minacce, indagare rapidamente sugli incidenti e dotarsi degli strumenti di risposta adeguati.

Rilevare e bloccare il ransomware con Vectra AI

Il ransomware, in particolare il tipo pionieristico di Maze, si sta evolvendo. I gruppi di attori delle minacce non solo avanzano nelle loro tattiche, ma si alleano, come abbiamo visto con la collaborazione di Maze con LockBit e RagnarLocker. Ciò significa che la posta in gioco è più alta che mai per le organizzazioni che devono difendere le loro infrastrutture critiche.

Per essere all'avanguardia rispetto a queste minacce, Vectra AI sfrutta le analisi comportamentali basate sull'intelligenza artificiale per individuare gruppi di ransomware sofisticati e attori di Advanced Persistent Threat (APT).

Per ulteriori informazioni su come operano i criminali informatici e su come Vectra AI può proteggere il vostro ambiente, consultate le nostre pagine dedicate alle minacce e agli attori delle minacce.

Per entrare in contatto con i nostri esperti, i servizi Vectra annunciati di recente consentono ai nostri clienti di maturare le loro operazioni di sicurezza e di accedere alle persone di Vectra più esperte. E come sempre, non esitate a contattarci per saperne di più o per programmare una demo.

DOMANDE FREQUENTI