ACCENTURE LOCKBIT RANSOMWARE REPORT

في 11 ^أغسطس 2021 فيما يلي تقرير عن حادثة برنامج الفدية التي حدثت في شركة Accenture .

مقدمة

Accenture هي شركة خدمات مهنية متعددة الجنسيات مقرها أيرلندا متخصصة في خدمات واستشارات تكنولوجيا المعلومات. ككل ، لديها حاليًا 600000 موظف كحد أقصى في 50 شركة. تشمل بعض الخدمات والعمليات التي تقدمها ؛ استراتيجيات الأعمال والتكنولوجيا والتسويق الرقمي والتحليلات وتنفيذ البرامج وتسليمها وتقديم كخدمة (الاستعانة بمصادر خارجية).

LockBit هو أحد أنواع برامج الفدية التي تم اكتشافها لأول مرة في سبتمبر 2019 ويتم تقديمه بواسطة LockBit gang. إنها عصابة برامج الفدية كخدمة تقوم بكتابة البرامج الضارة وتوزيعها من خلال الشركات التابعة. في عام 2020 ، خضعت لعملية توظيف تمت الإشارة إليها في إعلان مظلم على شبكة الإنترنت وغيرت اسمها إلى LockBit2.0.

أهداف تقرير الحادث هي :

1. تحديد هفوات المنشأة.
2. لوحظ تأثير برامج الفدية الضارة.
3. اتفق على الإجراءات المناسبة التي يجب اتخاذها لمعالجة الحادث إذا حدث مرة أخرى.

معلومات الحادث:

في 11 ^أغسطس 2021 ، لوحظت شاشة منبثقة تظهر أن LockBit 2.0 قد أغلق بيانات مملوكة لشركة Accenture. منح البرنامج الشركة 12 ساعة لدفع فدية قيمتها 50 مليون دولار أمريكي. زعمت المجموعة أن هذا يعادل 6 تيرابايت من البيانات التي سرقتها.

بعد بضع ساعات في نفس اليوم ، أصدر LockBit أكثر من 2000 ملف على الويب المظلم لفترة وجيزة جدًا.

تطور LockBit:

لبعض عمليات التوظيف وبالتالي التغيير الذي تم تطبيقه لاحقًا في عام 2021. وفقًا لـ Trend Micro ، يتضمن الإصدار الجديد من LockBit 2.0 تشفيرًا تلقائيًا للأجهزة عبر مجالات Windows عن طريق إساءة استخدام سياسات مجموعة Active Directory ، مما دفع المجموعة التي تقف وراءها لتزعم أنها واحدة من أسرع المتغيرات في السوق اليوم.

يستخدم أسلوبًا متعدد الخيوط في التشفير ويقوم أيضًا بتشفير الملفات جزئيًا ؛ يتم تشفير 4 كيلوبايت فقط من البيانات لكل ملف.

بعض الميزات الأخرى الملحوظة هي محاولة لتجنيد تهديدات داخلية من داخل الشركات المستهدفة. يقوم برنامج الفدية بتغيير خلفية الشاشة على جهاز الضحية إلى إعلان ، مع معلومات حول كيفية مشاركة المطلعين في المؤسسة في عملية التوظيف مع دفعات مضمونة بالملايين مقابل بيانات الاعتماد والوصول.

المنهجية:

لمحة عامة

تستخدم الشركة Fortinet و FortiOS في بنيتها التحتية. كانت هذه نقطة دخول العصابة من خلال استغلال الثغرة الأمنية لاجتياز المسار في FortiGate SSL VPN. لم يتم إصلاح نظام Accenture بعد عام من الإعلان عن الثغرة الأمنية (CVE-2018-13379).

قبل عدة أيام من بدء مرحلة الهجوم الرئيسية ، أجرى المهاجمون اتصالات تجريبية ببوابة VPN ، على ما يبدو من أجل التحقق من إمكانية استخدام بيانات اعتماد المصادقة المسروقة في هجوم على خادم VPN. وقد لوحظ هذا من السجلات التي تم الحصول عليها في وقت لاحق.

الوصول الأولي

قام ماسح ضوئي للشبكة بتقييم البنية التحتية للشبكة وتحديد وحدات التحكم بالمجال. استخدم ملفات دفعية متعددة لإنهاء أدوات الأمان التي تستخدمها الشركة ، لتمكين اتصالات RDP ، ومسح سجلات أحداث Windows وإيقاف خدمات مثل Microsoft Exchange.

الحركة الجانبية

في وحدة تحكم المجال ، لوحظ أن سياسات المجموعة الجديدة قد تم إنشاؤها وإرسالها إلى كل جهاز في الشبكة. تمت الإشارة إلى قيامهم بتعطيل Windows Defender وتوزيع برنامج Ransomware الثنائي وتنفيذه على كل جهاز يعمل بنظام Windows.

لم يتم العثور على خلفية للإعلان عن التوظيف في هذه الحالة.

الموجودات:

1. كانت البنية التحتية للشركة غير مسبوقة من الثغرة.
2. تم إجراء اتصالات الاختبار قبل أيام من قبل عصابة برامج الفدية.
3. تأثر عدد قليل فقط من الخوادم.

تأثير:

تم تشفير عدد قليل من الملفات جزئيًا وتم إضافة امتداد بت قفل.

تمت سرقة بعض الملفات وتسريبها في العديد من منتديات الويب المظلمة. لا تحتوي الملفات على أي معلومات تعريف شخصية أو بيانات معلومات صحية محمية والتي يمكن أن تكون قد أدت إلى متطلبات الإخطار التنظيمي.

تخفيف:

قللت الشركة من تأثير الهجوم من خلال عزل الخوادم المتأثرة عن الشبكة الرئيسية. ثم قاموا باستعادة النسخ الاحتياطية للحفاظ على تشغيل جميع الأنظمة ومنع تأخير التشغيل.

خاتمة:

وقع الحادث بسبب عدم تحديث برنامج البوابة ، ونقص الأدوات المناسبة لاكتشاف البرامج الدفعية الخبيثة والبرنامج الذي تم تكوينه جزئيًا والذي يسمح بقائمة قد تمنع تنفيذ التطبيقات الضارة.

توصية:

1. التدقيق والمخزون:

قم بجرد جميع الأصول والبيانات التنظيمية ، وحدد البرامج المصرح بها وغير المصرح بها التي تصل إلى أنظمة معينة. راقب جميع سجلات الأحداث لتحديد الأنماط والسلوكيات غير العادية.

2. تكوين ومراقبة

مراقبة استخدام منافذ الشبكة والبروتوكولات والخدمات. احصل على قائمة تسمح بالبرامج لمنع تنفيذ التطبيقات الضارة.

3. التصحيح والتحديث

إجراء تقييم دوري للثغرات الأمنية وإجراء تصحيح منتظم لنظام التشغيل وتطبيقات الجهاز. يجب تحديث Fortinet في هذه الحالة إلى أحدث إصدار.

4. حماية واستعادة

فرض إجراءات حماية البيانات والنسخ الاحتياطي والاسترداد. تطبيق أسلوب العائالت المتعددة MFA في جميع األجهزة والمنصات المستخدمة متى توافرت.

5. آمن ودافع

قم بإجراء تحليل وضع الحماية لفحص رسائل البريد الإلكتروني الضارة وحظرها. استخدم أحدث إصدار من حلول الأمان لجميع طبقات النظام ، بما في ذلك البريد الإلكتروني ونقطة النهاية والويب والشبكة. اكتشف العلامات المبكرة للهجوم مثل وجود أدوات مشبوهة في النظام ، وقم بتمكين تقنيات الكشف المتقدمة مثل تلك التي تعمل بالذكاء الاصطناعي والتعلم الآلي.

6. تدريب واختبار

إجراء تقييم المهارات الأمنية والتدريب لجميع الموظفين بانتظام وإجراء تمارين الفريق الأحمر واختبارات الاختراق.

اقرأ ايضا:

• تحديات البيانات الضخمة | BIG DATA CHALLENGE

• RAPID APPLICATION DEVELOPMENT & WIN WIN SPIRAL APPROACH