סיגניה מפרסמת דו״ח ניתוח מתקפה של קבוצת BlackCat
הגישה ראשונית ודריסת רגל ברשת הקורבן (ימים 1 - 5), הושגה על ידי פגיעה ברשת ספק צד שלישי
עמי רוחקס דומבה
| 11/03/2024
אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר | צילום: באדיבות סיגניה
חברת הסייבר הישראלית סיגניה (Sygnia) חושפת פרטים חדשים אודות קבוצת תקיפה המכונה BlackCat (גם ALPHV).
הקבוצה, שנחשפה לראשונה בנובמבר 2021, מתמקדת בתקיפת ארגונים רב-מגזריים ובינלאומיים בעלי פרופיל גבוה. בסיגניה נקראו לחקור פעילויות חשודות ברשת הלקוח, שזוהו בסופו של דבר כמתקפת סחיטה פיננסית שכללה דלף מידע מסיבי ובוצעה על-ידי BlackCat או אחת הקבוצות המסונפות לה.
צוות סיגניה, בהובלת אורן בידרמן, מספק תיאור מפורט, שלב אחר שלב, של כל הפעולות שבוצעו על-ידי קבוצת BlackCat במהלך תקיפה של לקוח שפנה לעזרת סיגניה.
הגישה ראשונית ודריסת רגל (ימים 1 - 5). הושגה על ידי פגיעה ברשת ספק צד שלישי, תוך שימוש בשרת מסוף מקומי ברשת הלקוח, כנקודת ציר שממנה ניתן להתחיל את המתקפה.
תנועה לרוחב (ימים 6-20). התוקפים השתמשו במספר טכניקות ביצוע קוד מרחוק ובפלטפורמת Cobalt Strike, כדי לנוע לרוחב רשת הארגון, בין התחומים המקומיים של הקורבן וסביבת Azure באמצעות RDP וחיבורים עם מנהור.
ייצוא נתונים מרשת הלקוח ותנועה צידית נוספת (ימים 27-30). באמצעות הכלי 'Rclone', התוקף הוציא נפח גדול של נתונים משרתים מקומיים לשירות אחסון קבצים בענן בשם 'Wasabi'.
ניסיונות סחיטה באיומים (ימים 30-45). התוקף הציף את הקורבן בהודעות אימייל המאיימות לפרסם מידע רגיש אם לא ישולם כופר, תוך הגזמת נפח ורגישות המידע הגנוב.
חסימת הגישה והיציאה מהרשת
החוקרים גם מספקים עצות עבור ארגונים וחברות כיצד להתגונן מבעוד מועד מפני מתקפות דומות. זאת, בהתבסס על פעילות הגנתית שבוצעה עבור הלקוח המדובר, שהותקף על-ידי הקבוצה במהלך 2023.
כמו קבוצות כופר אחרות, BlackCat משתמשת במודל עסקי של Ransomware-as-a-Service, המאפשר לשותפים שלה למנף את הכלים והתשתית שלהם לכדי מתקפות כופר וסחיטה.
החקירה המוקדמת של סיגניה חשפה אינדיקציות למתקפת כופר אפשרית שעלולה לגרום להצפנה של כלל המידע הארגוני.
לבסוף, מתקפת הסייבר נבלמה, באמצעות פעולות מיידיות שביצע צוות ה-IT של הלקוח, בעיקר חסימת כל תעבורת הכניסה והיציאה מנכסי הרשת המרכזית וממנה.
מאחר וההאקרים נכשלו בביצוע התקיפה במלואה או במחיקת עקבות ראיות בתוך הרשת, החקירה המקיפה שבוצעה על-ידי סיגניה לאחר מכן, הביאה למכלול נרחב וייחודי של ממצאים הנוגע לדרכי הפעולה, הטקטיקות, הטכניקות והנהלים (TTP) של קבוצת BlackCat, כמו גם אינדיקטורים של מזהי תקיפה.
במקרה זה, הארגון הנפגע חסם גישה לאינטרנט מתוך הרשת הפנים-ארגונית אבל לא מסביבת הענן של הארגון. מכיוון ששתי הסביבות היו מקושרות באמצעות Azure express route, קבוצת התקיפה שמרה על גישה לרשת של הקורבן, תוך עקיפת חומת האש הארגונית.
לדברי אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר, סיגניה, "לאחרונה, זיהינו מגמה של תקיפת חברות גדולות באמצעות תקיפת צדדים שלישיים בעלי אבטחה פחות חזקה. מגמה זו ממחישה עד כמה קריטי שחברות יבצעו מיפוי קפדני של חיבורי הרשת עם ספקיהן, ויגבילו את גישת הספקים למינימום הנדרש.
״לארגונים צריכה להיות תוכנית מוגדרת מראש לצמצום מתקפות כופר. במקרה זה, שחקן האיום לא הצליח לבצע הצפנה של הרשת, שכן הקורבן היה מוכן לחסום מיד את הגישה לאינטרנט.
״אין ספק כי חסימת קישוריות האינטרנט של רשתות גדולות היא משימה מאתגרת עבור מנהלי רשתות שצריכים במקביל לשמר את ההמשכיות העסקית של החברה, אך מאמץ מתמיד בכיוון זה עשוי לעשות את ההבדל".
הגישה ראשונית ודריסת רגל ברשת הקורבן (ימים 1 - 5), הושגה על ידי פגיעה ברשת ספק צד שלישי
אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר | צילום: באדיבות סיגניה
חברת הסייבר הישראלית סיגניה (Sygnia) חושפת פרטים חדשים אודות קבוצת תקיפה המכונה BlackCat (גם ALPHV).
הקבוצה, שנחשפה לראשונה בנובמבר 2021, מתמקדת בתקיפת ארגונים רב-מגזריים ובינלאומיים בעלי פרופיל גבוה. בסיגניה נקראו לחקור פעילויות חשודות ברשת הלקוח, שזוהו בסופו של דבר כמתקפת סחיטה פיננסית שכללה דלף מידע מסיבי ובוצעה על-ידי BlackCat או אחת הקבוצות המסונפות לה.
צוות סיגניה, בהובלת אורן בידרמן, מספק תיאור מפורט, שלב אחר שלב, של כל הפעולות שבוצעו על-ידי קבוצת BlackCat במהלך תקיפה של לקוח שפנה לעזרת סיגניה.
הגישה ראשונית ודריסת רגל (ימים 1 - 5). הושגה על ידי פגיעה ברשת ספק צד שלישי, תוך שימוש בשרת מסוף מקומי ברשת הלקוח, כנקודת ציר שממנה ניתן להתחיל את המתקפה.
תנועה לרוחב (ימים 6-20). התוקפים השתמשו במספר טכניקות ביצוע קוד מרחוק ובפלטפורמת Cobalt Strike, כדי לנוע לרוחב רשת הארגון, בין התחומים המקומיים של הקורבן וסביבת Azure באמצעות RDP וחיבורים עם מנהור.
ייצוא נתונים מרשת הלקוח ותנועה צידית נוספת (ימים 27-30). באמצעות הכלי 'Rclone', התוקף הוציא נפח גדול של נתונים משרתים מקומיים לשירות אחסון קבצים בענן בשם 'Wasabi'.
ניסיונות סחיטה באיומים (ימים 30-45). התוקף הציף את הקורבן בהודעות אימייל המאיימות לפרסם מידע רגיש אם לא ישולם כופר, תוך הגזמת נפח ורגישות המידע הגנוב.
חסימת הגישה והיציאה מהרשת
החוקרים גם מספקים עצות עבור ארגונים וחברות כיצד להתגונן מבעוד מועד מפני מתקפות דומות. זאת, בהתבסס על פעילות הגנתית שבוצעה עבור הלקוח המדובר, שהותקף על-ידי הקבוצה במהלך 2023.
כמו קבוצות כופר אחרות, BlackCat משתמשת במודל עסקי של Ransomware-as-a-Service, המאפשר לשותפים שלה למנף את הכלים והתשתית שלהם לכדי מתקפות כופר וסחיטה.
החקירה המוקדמת של סיגניה חשפה אינדיקציות למתקפת כופר אפשרית שעלולה לגרום להצפנה של כלל המידע הארגוני.
לבסוף, מתקפת הסייבר נבלמה, באמצעות פעולות מיידיות שביצע צוות ה-IT של הלקוח, בעיקר חסימת כל תעבורת הכניסה והיציאה מנכסי הרשת המרכזית וממנה.
מאחר וההאקרים נכשלו בביצוע התקיפה במלואה או במחיקת עקבות ראיות בתוך הרשת, החקירה המקיפה שבוצעה על-ידי סיגניה לאחר מכן, הביאה למכלול נרחב וייחודי של ממצאים הנוגע לדרכי הפעולה, הטקטיקות, הטכניקות והנהלים (TTP) של קבוצת BlackCat, כמו גם אינדיקטורים של מזהי תקיפה.
במקרה זה, הארגון הנפגע חסם גישה לאינטרנט מתוך הרשת הפנים-ארגונית אבל לא מסביבת הענן של הארגון. מכיוון ששתי הסביבות היו מקושרות באמצעות Azure express route, קבוצת התקיפה שמרה על גישה לרשת של הקורבן, תוך עקיפת חומת האש הארגונית.
לדברי אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר, סיגניה, "לאחרונה, זיהינו מגמה של תקיפת חברות גדולות באמצעות תקיפת צדדים שלישיים בעלי אבטחה פחות חזקה. מגמה זו ממחישה עד כמה קריטי שחברות יבצעו מיפוי קפדני של חיבורי הרשת עם ספקיהן, ויגבילו את גישת הספקים למינימום הנדרש.
״לארגונים צריכה להיות תוכנית מוגדרת מראש לצמצום מתקפות כופר. במקרה זה, שחקן האיום לא הצליח לבצע הצפנה של הרשת, שכן הקורבן היה מוכן לחסום מיד את הגישה לאינטרנט.
״אין ספק כי חסימת קישוריות האינטרנט של רשתות גדולות היא משימה מאתגרת עבור מנהלי רשתות שצריכים במקביל לשמר את ההמשכיות העסקית של החברה, אך מאמץ מתמיד בכיוון זה עשוי לעשות את ההבדל".
