安全研究人员发现，在部署有效载荷之前，一家受到 LockBit 勒索软件攻击的美国地区政府机构在其网络中至少存在 5 个月的时间。

从受感染机器中检索到的日志显示，有两个威胁组织已经对它们进行了入侵，并进行了侦察和远程访问操作。

攻击者试图通过删除事件日志来删除他们的踪迹，但文件片段仍然允许威胁分析人员一睹攻击者及其策略。

初步妥协
允许攻击的初始访问是一项保护功能，该机构的一名技术人员在维护操作后禁用了该功能。

据网络安全公司 Sophos 的研究人员称，攻击者通过配置错误的防火墙上的开放远程桌面 (RDP) 端口访问网络，然后使用 Chrome 下载攻击所需的工具。

该工具集包括用于暴力破解、扫描、商业 VPN 的实用程序，以及允许文件管理和命令执行的免费工具，例如 PsExec、FileZilla、Process Explorer 和 GMER。

此外，黑客还使用了远程桌面和远程管理软件，例如 ScreenConnect，以及后来的攻击中的 AnyDesk。

从那里，攻击者花时间低调，只是试图窃取有价值的帐户凭据，以扩大他们对网络的危害。

在某个时候，他们窃取了同样拥有域管理员权限的本地服务器管理员的凭据，因此他们可以在其他系统上创建具有管理员权限的新帐户。

升级游戏
在攻击的第二阶段，在最初的妥协五个月后开始，一个更老练的攻击者似乎已经接管了，导致 Sophos 假设一个更高级别的攻击者现在负责该操作。

“从受感染服务器上的日志和浏览器历史文件中恢复的活动的性质给我们的印象是，首先闯入网络的威胁参与者不是专家，而是新手，而且他们后来可能已经转移了对他们的控制权。远程访问一个或多个不同的、更复杂的组，这些组最终交付了勒索软件有效负载” ——Sophos

新阶段从安装 Mimikatz 和 LaZagne 后利用工具开始，用于从受感染的服务器中提取凭据集。

攻击者通过擦除日志和通过远程命令执行系统重新启动来使他们的存在更加明显，警告系统管理员使 60 台服务器脱机并分割网络。

此事件响应期间的第二个错误禁用了端点安全性。从此，两党展开了公开对抗的措施和对策。

“当攻击者转储帐户凭据、运行网络枚举工具、检查他们的 RDP 能力并创建新用户帐户时，会发生稳定的表格设置活动，大概是为了在他们被中断时给自己提供选择” - Sophos

“在攻击的第六个月的第一天，攻击者采取了重大行动，运行 Advanced IP Scanner 并几乎立即开始横向移动到多个敏感服务器。几分钟内，攻击者就可以访问大量敏感人员并购买文件，”Sophos 报告说。

Sophos 加入了响应工作并关闭了为攻击者提供远程访问的服务器，但部分网络已经使用 LockBit 进行了加密。

在一些机器上，虽然文件已用 LockBit 的后缀重命名，但并未进行加密，因此恢复它们只是将重命名操作颠倒过来。

带走
研究人员表示，实施多因素身份验证 (MFA) 保护会导致不同的结果，因为它会阻止黑客自由移动或至少显着阻碍他们在受感染网络上的行动。

另一个可能减缓威胁参与者的关键安全功能是阻止远程访问 RDP 端口的防火墙规则。

最后，这个案例强调了维护和事件响应错误的问题，以及即使在紧急情况下也需要遵循安全检查表。