Pagini web compromise – Ransomware – România

După cum am menționat în articolele anterioare, dacă vrem să avem parte de acea schimbare, la nivel de securitate cibernetică, trebuie să colaborăm și să ne implicăm în această activitate zilnică.

Pe social media am anunțat apariția unei pagini ce părea afectată de Ransomware, dar era doar începutul, deoarece hackerul anunțase deja compromiterea a 3 servere de hosting. Au urmat alte 28 de pagini atacate de aceiași persoană, dar și o surpriză din partea unui atacator român care a criptat pagina unei instituții.

Adresele găsite au ajuns la CERT-RO, pentru a putea fi anunțați deținătorii. O parte dintre aceștia au luat măsurile necesare.. sau au făcut ce au putut, dar au avut inițiativă.
În schimb, o parte dintre cele 28 de pagini încă sunt la același stadiu, așa că îi vom anunța prin acest articol draguț!

Listă domenii afectate la momentul realizării articolului:

  • http://raufar.ro/
  • http://raufarwater.ro/
  • http://www.bigprintsolutions.ro/
  • http://militarywatch.ro/
  • http://imfarco.ro/
  • http://forsining.ro/
  • http://www.psihologmures.ro/
  • https://clubaventura.ro/

O altă surpriză vine din partea atacatorilor români. O nouă pagină criptată și semnată de o grupare românească!

http://gestino.ro/
Plus încă una >> http://eurodinamic.ro/

Așadar aici suntem! Lucrurile evoluează în toate direcțiile!
Nimic nu poate fi 100% securizat, dar măcar să încercăm!

Succes în activitățile pe care le aveți!

Cu respect,

Alexandru Angheluș!

Listă IP-uri compromise România – Cobalt, Scythe, Mythic, Posh

Pentru susținerea conceptului de colaborare, așa cum scriam și în articolul Colaborare, Buget, Implicare | Ransomware – Cobalt Strike, în acest articol vor fi adăugate IP-urile din România, care sunt/ sau au fost compromise, prin intermediul agenților de exploatare Cobalt Strike, Scythe, Mythic și Posh.

Datele sunt publice, doar că, pentru centralizarea lor trebuie alocat puțin timp.
Ideea este ca cei din comunitatea de securitate cibernetică să aibă acces la aceste date, pentru a își putea proteja infrastructura lor sau a clienților.

Inițial, avertizarea a ajuns la CERT-RO, cu detaliile necesare, iar pe social media doar ca informație.


Ip-urile din lista următoare, sunt servere sau dispozitive care au intrat în legătură cu agenți de exploatare, deoarece au/ au avut vulnerabilități exploatabile. Unele IP-uri apar în mai multe liste, ceea ce denotă că au fost testate/ exploatate din mai multe direcții.

Cobalt 1 Cobalt 2 Cobalt 3 Cobalt 4 Cobalt 5
Mythic 1 Mythic 2
Metasploit ssl listener Metasploit ssl listener
Merlin
MacC2 MacC2
Shad0w
GRAT2 C2
Covenant
SILENTRINITY
PoshC2

Sursa semnăturilor(hash): GitHub

Descoperirea la timp a unui server deja compromis, poate preveni un incident major. Uneori serverele sau dispozitivele sunt deja compromise, dar hackerii încă nu au început exploatarea lor, așa că trebuiesc luate măsuri IMEDIAT!

Succes la patch-uri și spor la treabă!

Colaborare, Buget, Implicare | Ransomware – Cobalt Strike

Așa cum se obișnuiește, în urma unui atac cibernetic, apăr articole despre incident și despre ce se putea face, pentru a nu ajunge în această situație.
Aceiași reacție avem și acum, în urma atacului Ransomware de la Colonial Pipeline. Au apărut soluții și idei, se aruncă vina din stânga în dreapta…

Dar ce se întâmplă cu articolele apărute înainte de incident? Deoarece, în cazul exploatării cu Cobalt Strike au fost suficiente indicii ale serverelor posibil compromise, semnături și metode de descoperire a acestora, la nivel mondial, toate postate de specialiști în securitate cibernetică.

Este foarte simplu!
– Acolo unde există sisteme de prevenție și echipe de securitate cibernetică, se colectează informațiile din mediul online,
– CERT-urile naționale trimit alerte către cei vizați, atunci cănd au informațiile necesare,
– Specialiștii în securitate cibernetică avertizează administratorii de sisteme, prin intermediul articolelor sau în mod direct!

Informația se blochează sau este procesată greu acolo unde nu există: buget, specialiști angajați, conducere responsabilă, implicare.
Mai concret, blocajele apar acolo unde:
– IT-istul este plătit dintr-un buget mic mic, care a fost alocat pe ultima foaie, dar trebuie să facă munca a 2-3 persoane.
– Poziția de specialist IT a fost ocupată de un nepot, sau un cumătru care are competențe in… PDF, iar acesta trimite alertele… în Spam.
– Infrastructura este veche, iar IT-stul este limitat în acțiuni sau trebuie sa aloce foarte mult timp pentru implementare….etc

Revenim la Cobalt Strike. Revenim la Ransomware. Revenim la alerte care pot preveni un incident major.

12 Aprilie. O parte din informatii deja ajung la CERT-RO.

21 Aprilie 2021. Este ”doar o postare”, un mic text și o imagine cu câteva informații. Câteva tag-uri: educatiecibernetica #prodefence #malware #romania #cobaltstrike #audit #pentesting #infrastructura #implicare (ajută la apariția articolului în feed-ul persoanelor interesate de aceste tag-uri) și 2 pagini etichetate CERT-ROProDefence (CERT-RO este etichetată atunci când deja informația a ajuns la ei, iar ProDefence pentru că … noi)

În spatele acestei postări aparent simple, a fost consumat foarte mult timp pentru găsirea unei soluții de descoperire a serverelor care au sau au avut legătură cu Cobalt Strike.
– Căutare informații publicate de alți specialiști,
– Încercare metode noi de căutare, adaptarea unor metode mai vechi la ceea ce căutam,
– Gasire semnături malware din publicații, din platforme analiza malware, analiză malware,
– Testarea și găsirea unei formule adecvate pentru descoperirea serverelor,
– Centralizarea informațiilor găsite.

Am menționat CERT-RO, deoarece la ei ajung informațiile care au legătura cu infrastructura IT din România.
Fără a mai menționa ce ajunge la ei zilnic, am trimis și un pachet cu 322 IP-uri din România, care au cel putin una din cele 4 semnaturi(inițial 3) Cobalt Strike.
Îl voi menționa pe Ovidiu Mogoșan, omul de la CERT-RO, care este asaltat zilnic de rapoartele Prodefence! Nu știu cum reușește să le rezolve pe toate, dar îi mulțumesc pentru profesionalismul și implicarea de care dă dovadă!
Da… multe informații de prelucrat! De aici și dorința domnului Director Dan Cîmpean, de a înființa DNSCDirectoratul Național de Securitate Cibernetică. Mai mulți specialiști, alt buget, tehnologie, licente…. mda.. visul specialiștilor din orice domeniu: BUGET!

Mai departe!

23 Aprilie 2021. 2 avertizări despre servere compromise, care pot fi exploatate de hackeri. ”Doar” căteva sute de IP-uri din România, care au sau avut legătura cu cei 2 agenți de exploatare.
Deci, plus 1042 IP-uri pentru echipa CERT-RO!

Ceea ce vreau să subliniez, este faptul că uneori informațiile există, avem posibilitatea de a preveni incidentele majore sau mai putin majore.

Ceea ce am prezentat mai sus, este doar o mică mică parte din ceea ce se întâmplă, doar că tot acest proces de analiză și centralizare a informațiilor costă timp și bani! Mai ales că toate aceste servere pot ajunge în situația celor de la Pipline!
Specialiști sunt, dar trebuiesc motivați financiar și ”înarmați” cu sisteme care să suporte lupta în războiul cibernetic!

Care este rezolvarea acestei situații?

  • Colaborare / Implicare- Când apare o informație nouă, aceasta trebuie exploatată la maxim! Cauți, întrebi, ceri informații suplimentare de la cei care au creat avertizarea.
  • Actualizarea sistemelor de protecție cu noile informații apărute și blocarea exploatării serverelor administrate.
  • BUGET – Salarii, infrastructură, licențe…

Cu respect,

Alexandru Angheluș