Az INC zsarolóvírus fiaskója: 12 amerikai cég adatai visszakerültek

Egy súlyos biztonsági hiba miatt sikerült visszanyerni azokat a titkosított adatokat, amelyeket az INC zsarolóvírus-csoport lopott el egy tucat amerikai szervezettől. A szakértők alaposan megvizsgálták a támadók nyomait, és olyan eszközökre bukkantak, amelyek ugyan ebben a támadásban nem szerepeltek, mégis lebuktatták azokat a szervereket és azt az infrastruktúrát, ahol a lopott adatok hevertek.

Zsarolóvírus-nyomozásból infrastruktúra-vadászat

A Cyber Centaurs nevű digitális forenzikai cég akkor kezdte el a vizsgálatot, amikor egy ügyfelüknél észlelték a zsarolóvírus-aktivitást az SQL-szerveren. A támadók a RainINC nevű zsarolóvírus-variánst futtatták a PerfLogs mappából, amelyet eredetileg a Windows hoz létre, de a hackerek egyre gyakrabban használják álraktárként. Az elemzők arra is felfigyeltek, hogy ott maradtak a Restic mentőprogram nyomai, bár magát az eszközt ebben a támadásban nem használták.

Ez az apró félrecsúszás azonban infrastruktúra-elemzésre ösztönözte őket, mert kiderült, hogy a támadók egyik PowerShell-szkriptje tartalmazott minden szükséges elérési adatot, kódolt jelszavakat és hozzáférést a Restic-mentésekhez.

Titkosított kincsesbánya és meglepő visszaszerzés

A vizsgálat során felmerült, hogy ha az INC rendszeresen ugyanazt a mentési infrastruktúrát használja, akkor a lopott adatok továbbra is elérhetők lehetnek az elkövetők szerverein. Egy biztonságos, módosításmentes lekérdezéssel ezt igazolták is: 12 különböző amerikai cég egészségügyi, gyártási, technológiai és szolgáltató szektorokból származó titkosított adatait találták meg egy biztonsági mentési szerveren.

Bár ezek a cégek nem voltak közvetlen ügyfelek, a Cyber Centaurs dekódolta és biztonságba helyezte az adatokat, majd értesítette a hatóságokat, hogy segítsenek visszaszolgáltatni azokat a jogos tulajdonosoknak.

Fejvadászeszközök és védelem

A jelentés felsorolja az INC által használt eszközöket: törlőprogramokat, távvezérlő szoftvereket és hálózati szkennereket. Emellett a kutatók kidolgoztak olyan keresőszabályokat, amelyekkel a védők könnyebben azonosíthatják, ha a környezetükben a Restic vagy annak átnevezett változatai működnek — ez már előre jelezheti egy esetleges zsarolóvírus-támadás közeledtét.

Az INC zsarolóvírus 2023 közepe óta működik. Azóta több komoly célpont is áldozatul esett tevékenységének.

2025, adrienne, www.bleepingcomputer.com alapján