Sophos ha rilasciato i risultati di un doppio attacco ransomware in cui le note di estorsione lasciate dagli operatori del ransomware Karma sono state criptate 24 ore dopo da Conti, un’altra banda di ransomware che si trovava nella rete dell’obiettivo nello stesso momento. Sophos dettaglia i doppi attacchi nell’articolo “Conti and Karma Actors Attack Healthcare Provider at Same Time Through ProxyShell Exploits“, spiegando come entrambi gli operatori hanno ottenuto l’accesso alla rete attraverso un Microsoft Exchange Server senza patch, ma poi hanno usato tattiche diverse per attuare i loro attacchi.
“Essere colpiti da un doppio attacco ransomware è uno scenario da incubo per qualsiasi organizzazione. Nella timeline stimata c’è stato un periodo di circa quattro giorni in cui gli attaccanti Conti e Karma erano contemporaneamente attivi nella rete dell’obiettivo, muovendosi l’uno intorno all’altro, scaricando ed eseguendo script, installando i beacon Cobalt Strike, raccogliendo ed esfiltrare dati e altro ancora“, ha detto Sean Gallagher, senior threat researcher di Sophos. “Karma ha schierato la fase finale del suo attacco per prima, facendo cadere un avviso di estorsione sui computer chiedendo un pagamento in bitcoin in cambio della non pubblicazione dei dati rubati. Poi Conti ha colpito, criptando i dati dell’obiettivo in un attacco ransomware più tradizionale. In una strana svolta, il ransomware Conti ha criptato le note di estorsione di Karma“.
Sophos ritiene che il primo incidente sia iniziato il 10 agosto 2021, quando gli aggressori, probabilmente Initial Access Brokers, hanno utilizzato un exploit ProxyShell per accedere alla rete e stabilire un punto d’appoggio sul server compromesso. L’indagine di Sophos ha mostrato che sono passati quasi quattro mesi prima che Karma apparisse il 30 novembre 2021, ed esfiltrasse più di 52 gigabyte di dati nel cloud.
Il 3 dicembre 2021, sono accadute tre cose:
- Gli aggressori di Karma hanno lasciato cadere una nota di estorsione su 20 computer, chiedendo un riscatto e spiegando che non hanno criptato i dati perché l’obiettivo era un fornitore di assistenza sanitaria
- Conti stava operando silenziosamente in background, esfiltrando anche i dati
- L’obiettivo ha iniziato l’onboarding del team di risposta agli incidenti di Sophos per aiutare con il Karma. Mentre Sophos era in fase di onboarding, Conti ha distribuito il suo ransomware il 4 dicembre 2021. Sophos ha successivamente rintracciato l’inizio dell’attacco di Conti ad un altro exploit ProxyShell sfruttato il 25 novembre 2021.
“Sia che il broker di accesso iniziale abbia venduto l’accesso a due diversi affiliati di ransomware, o che il server Exchange vulnerabile sia stato solo un obiettivo sfortunato per più operatori di ransomware, il fatto che un doppio attacco sia stato possibile è un potente promemoria per patchare le vulnerabilità ampiamente note e rivolte a Internet alla prima opportunità“, ha detto Gallagher. “La difesa in profondità è vitale per identificare e bloccare gli aggressori in qualsiasi fase della catena di attacco, mentre la caccia alle minacce proattiva e guidata dall’uomo dovrebbe indagare su tutti i comportamenti potenzialmente sospetti, come i login inaspettati ai servizi di accesso remoto o l’uso di strumenti legittimi al di fuori del modello normale, in quanto questi potrebbero essere i primi segnali di allarme di un imminente attacco ransomware“.
