Zsarolóvírus-nyomozásból infrastruktúra-vadászat
A Cyber Centaurs nevű digitális forenzikai cég akkor kezdte el a vizsgálatot, amikor egy ügyfelüknél észlelték a zsarolóvírus-aktivitást az SQL-szerveren. A támadók a RainINC nevű zsarolóvírus-variánst futtatták a PerfLogs mappából, amelyet eredetileg a Windows hoz létre, de a hackerek egyre gyakrabban használják álraktárként. Az elemzők arra is felfigyeltek, hogy ott maradtak a Restic mentőprogram nyomai, bár magát az eszközt ebben a támadásban nem használták.
Ez az apró félrecsúszás azonban infrastruktúra-elemzésre ösztönözte őket, mert kiderült, hogy a támadók egyik PowerShell-szkriptje tartalmazott minden szükséges elérési adatot, kódolt jelszavakat és hozzáférést a Restic-mentésekhez.
Titkosított kincsesbánya és meglepő visszaszerzés
A vizsgálat során felmerült, hogy ha az INC rendszeresen ugyanazt a mentési infrastruktúrát használja, akkor a lopott adatok továbbra is elérhetők lehetnek az elkövetők szerverein. Egy biztonságos, módosításmentes lekérdezéssel ezt igazolták is: 12 különböző amerikai cég egészségügyi, gyártási, technológiai és szolgáltató szektorokból származó titkosított adatait találták meg egy biztonsági mentési szerveren.
Bár ezek a cégek nem voltak közvetlen ügyfelek, a Cyber Centaurs dekódolta és biztonságba helyezte az adatokat, majd értesítette a hatóságokat, hogy segítsenek visszaszolgáltatni azokat a jogos tulajdonosoknak.
Fejvadászeszközök és védelem
A jelentés felsorolja az INC által használt eszközöket: törlőprogramokat, távvezérlő szoftvereket és hálózati szkennereket. Emellett a kutatók kidolgoztak olyan keresőszabályokat, amelyekkel a védők könnyebben azonosíthatják, ha a környezetükben a Restic vagy annak átnevezett változatai működnek — ez már előre jelezheti egy esetleges zsarolóvírus-támadás közeledtét.
Az INC zsarolóvírus 2023 közepe óta működik. Azóta több komoly célpont is áldozatul esett tevékenységének.
