Otvoren server Beast ransomware grupe otkrio njihove alate i fokus na uništavanje bekapa
Istraživači iz Team Cymru otkrili su javno dostupan server na infrastrukturi nemačkog cloud provajdera, koji je sadržao kompletan alatni skup jednog operatera Beast ransomware grupe. Na serveru su pronađeni alati za izviđanje, mapiranje mreže, krađu kredencijala, lateralno kretanje, postojanost i eksfiltraciju podataka, uključujući dual-use alate poput AnyDeska i Mega aplikacije. Analiza je posebno istakla fokus grupe na onesposobljavanje oporavka, uključujući skriptu "disable_backup.bat" za brisanje Windows VSS kopija i gašenje servisa za bekap, kao i alat verovatno namenjen brisanju logova posle aktiviranja ransomware-a.
Važan deo ove priče nije samo operativna greška napadača koji je ostavio otvoren server, već i to što nalaz potvrđuje obrazac koji se stalno ponavlja: ransomware grupe ne napadaju samo produkcione sisteme, već planski traže način da unište oporavak i prikrju tragove. To znači da bekap koji je stalno na mreži i logovi koji ostaju samo lokalno često nisu dovoljni kada napad zaista počne.
- Držati bekape van produkcione mreže ili ih tehnički odvojiti tako da ne budu lako dostupni kompromitovanom nalogu
- Redovno proveravati da li se mogu obrisati VSS kopije, ugasiti backup servisi i šifrovati mrežno povezani bekapi
- Slati logove na odvojenu lokaciju kako bi ostali dostupni i ako napadač obriše lokalne tragove
- Koristiti EDR ili MDR za otkrivanje skripti i procesa koji gase bekape, brišu shadow copy i zaustavljaju zaštitne servise
- Primena allow-listing pristupa za kontrolu dual-use alata kao što su AnyDesk i slični programi za daljinski pristup
- Testirati oporavak iz bekapa u scenariju gde je deo infrastrukture već kompromitovan i gde napadač pokušava da uništi recovery mehanizme