攻撃者は合法的なWindowsツールとリネームされたバックアップユーティリティを使用して、静かにデータをステージングし、エクスフィラートし、その後にINCランサムウェアを展開するというランサムウェア侵入が発生しました。この事件は、脅威アクターが「living off the land」技術にますます依存していることを示しています。
攻撃の概要
調査の結果、攻撃者は少なくとも2月24日にネットワークにアクセスしていたことが判明しました。組織はインフラ全体に完全に展開されたエンドポイント検出エージェントを持っておらず、セキュリティ情報およびイベント管理(SIEM)システムも使用していませんでした。
攻撃の詳細
2月25日、Huntress SOCアナリストが顧客環境内でINCランサムウェアが展開されていることを検出したとき、攻撃が発見されました。
権限昇格
ネットワーク内に侵入した後、攻撃者はシステムをFドライブとしてマッピングし、Microsoftの合法的なPsExecユーティリティを使用して権限を昇格させ、リモートでコマンドを実行しました。
スケジュールされたタスクの作成
攻撃者は、スケジュールされたタスク「Recovery Diagnostics」を作成し、C:\\