Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Sodinokibi, Maze, RagnarLocker w natarciu

Data publikacji: 24-09-2020 Autor: Ireneusz Tarnowski

Po atakach WannaCry czy Petya – NotPetya wydawało się, że że powiedziane zostało już wszystko o technikach i motywacji cyberprzestępców. Jednak za sprawą wykorzystania nowych narzędzi oraz wielu wektorów szantażu od końca 2019 roku obserwujemy znaczące zmiany i wzrost skutecznych napaści.

 

Usługowy model Ransomware-as-a-Service (RaaS) skierowany był przeciwko mniejszym firmom i instytucjom. W pewnym momencie jednak odporność na samą niedostępność danych (a taki był główny cel tego malware'u) wzrosła na tyle, że prowadzenie operacji przez cyberprzestępców nie było już „atrakcyjne”. Opracowano, jak więcej zarabiać na ransomware – dodano szantaż związany z ujawnieniem wrażliwych danych. Wraz z nowym modus operandi pojawiły się nowe techniki. Wykonywanie backupu danych oraz dobry plan BCP nie są już wystarczającymi środkami ochrony. Ataki są bardziej skomplikowane, bardziej hybrydowe, wykorzystują zaawansowane taktyki i techniki.


> Żądanie okupu


Ransomware to rodzaj ataku DoS (Denial-of-Service, czyli niedostępność usługi lub systemu komputerowego). W swej idei ma on na celu zatrzymanie możliwości pracy na komputerze. Historycznie pierwszym ransomware'em był złośliwy program AIDS, dystrybuowany za pomocą dyskietek już w roku 1989. Działanie jego polegało na szyfrowaniu nazw plików na dysku C. Aby odzyskać dostęp, użytkownicy musieli wysłać 189 dolarów do PC Cyborg Corporation na skrytkę pocztową w Panamie. Trojan AIDS był dość łatwy do pokonania, ponieważ wykorzystywał prostą kryptografię symetryczną, a wkrótce pojawiły się narzędzia do odszyfrowania plików. Pierwszy w historii ekran żądania okupu w ataku komputerowym przedstawia rys. 1.


Począwszy od roku 2005, wraz z powszechnością internetu, zaczęły pojawiać się złośliwe programy, które blokowały ekran oraz wybrane funkcje systemu Windows. W zamian za kod odblokowujący przestępcy żądali opłaty niskiej kwoty (np. 100 dol.) poprzez system szybkich płatności. W pierwszych atakach ofiary wybierano losowo, wykorzystując metodę „wodopoju”. W metodzie tej osoba odwiedza stronę WWW, która na pozór nie budzi niepokoju, pobiera świadomie (lub częściej nieświadomie) program i go uruchamia. W tym momencie następuje infekcja, lub – co wydaje się bardziej precyzyjne – zablokowanie komputera. Te pierwsze ataki nie miały cech infekcji. Z tego też względu szybko opracowano instrukcje, w jaki sposób je zneutralizować i przywrócić komputer do pełnej funkcjonalności. W pierwszych atakach wyświetlano komunikat podszywający się pod policję czy też pod inne służby bezpieczeństwa i grożono karami w przypadku niezapłacenia kary. W tej socjotechnice nie mówiono o okupie, lecz o karze za złamanie prawa.
Od roku 2013 cyberprzestępcy zaczęli używać ransomware'u szyfrującego pliki – taka wersja wirusa funkcjonuje do dzisiaj. Pojawił się wówczas malware o nazwie Cryptolocker, który rozprzestrzeniał się za pośrednictwem zainfekowanych stron internetowych i złośliwych załączników do wiadomości e-mail. Utworzenie kryptowalut (bitcoin, 2009) spopularyzowało metodę, by opłata okupu stała się bezpieczna i anonimowa. To znacząco uprościło schemat działania przestępców. Cryptolocker używał algorytmu AES-256 do szyfrowania plików oraz wykorzystywał serwery zarządzające (Command and Control, C2) rozproszone w botnecie Zeus. Komunikacja pomiędzy ofiarą a serwerem dystrybuującym klucze do odszyfrowania odbywała się przez sieć Tor. Wszystkie te techniki sprawiły, że znacznie trudniej było wyśledzić stojących za tymi atakami przestępców. Użycie serwerów zarządzających (C2) przez Cryptolockera zdecydowanie przyczyniło się do jego upadku. Botnet Zeus został w dużej części zniszczony w 2014 roku i malware opierający swoje działanie na infrastrukturze Zeusa przestał być groźny.


> Pliki szyfrowane


12 maja 2017 nastąpił światowy atak WannaCry, po którym każdy już słyszał i rozumiał znaczenie ransomware'u. Można powiedzieć, że nowy malware stanowił połączenie dwóch dobrze znanych technik:

 

  1. Szyfrowanie zawartości dysku – jak typowy kryptoloker;
  2. Samodzielne rozprzestrzenianie się w sieciach komputerowych – jak wirus typu „robak” (np. Sasser z 2004 roku, który poprzez sieć błyskawicznie infekował każdy podatny system Windows XP).

 

WannaCry do propagacji w sieci komputerowej wykorzystywał lukę w obsłudze protokołu Microsoft Server Message Block 1.0 (SMBv1) pozwalającą na zdalne wykonanie dostarczonego kodu na komputerze ofiary. Jest to podatność, którą opublikował Microsoft 17 marca 2017 roku w biuletynie bezpieczeństwa MS17-010. Kod wykorzystujący tę podatność to eksploit EternalBlue, opracowany przez amerykańską agencję bezpieczeństwa (National Security Agency). Grupa hakerów zwana Shadow Brokers udostępniła publicznie luki, które były ukierunkowane na zapory korporacyjne, oprogramowanie antywirusowe i produkty Microsoft, m.in. eksploit EternalBlue. W trakcie działania malware'u w systemie szyfrowane były pliki, które miały wartość dla właściciela (dokumenty, archiwa, grafiki, filmy, bazy danych), a omijane były pliki systemowe, niezbędne do działania systemu. Tradycyjnie też podczas takich ataków zostawiany był komunikat o sposobie zapłacenia okupu (rys. 2).


Atak ten objął swoim zakresem ponad 200 000 komputerów w 150 krajach. Najwięcej infekcji miało miejsce w Rosji, na Ukrainie, w Indiach oraz na Tajwanie. W Polsce potwierdzono 1235 infekcji (według Zespołu CERT Polska). Większość dużych polskich operatorów telekomunikacyjnych domyślnie blokuje ruch na porcie 445 używanym przez robaka do propagacji w sieci, co mogło istotnie zmniejszyć skalę infekcji. Atak wyraźnie był ukierunkowany na sieci korporacyjne. W trakcie analiz odkryto, że malware ma tzw. kill switch – wyłącznik, mechanizm zabezpieczający, który prawidłowo użyty może zatrzymać infekcję organizacji. W przypadku WannaCry jego twórcy chcieli ochronić swoje lokalne środowisko i jako wyłącznika użyli nazwy domenowej, która dostępna była tylko w ich sieci deweloperskiej. Wyłącznik (domena) dla różnych wersji WannaCry to:

 

  • Wersja #1: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com;
  • Wersja #2: ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com;
  • Wersja #3: brak wyłącznika.


Gdy analitycy odkryli ten rodzaj wyłącznika, szybko zarejestrowali tzw. dziwne domeny. Ocenia się, że w ten sposób zatrzymano światowy atak i uratowano kilkaset tysięcy komputerów. Zanim twórcy malware'u wypuścili trzecią wersję programu, pozbawioną wyłącznika, administratorzy zdążyli zaktualizować oprogramowanie na swoich serwerach. W 2018 roku odpowiedzialność za ten atak przypisano grupie hakerskiej Lazarus (APT38), która jest łączona ze strukturami wywiadu wojskowego Korei Północnej. Departament sprawiedliwości Stanów Zjednoczonych 6 września 2018 roku wydał komunikat, w którym zaocznie skazał Park Jin Hyok’a, pułkownika północnokoreańskiej armii, za serię cyberataków, włączając w to WannaCry.

 

> Petya – NotPetya


Niespełna miesiąc po zawirowaniach wynikających z WannaCry świat odczuł kolejny bardzo destrukcyjny atak. W dniach 27–28 czerwca 2017 zaatakowane zostały niemal wszystkie systemy komputerowe na Ukrainie. Wektorem (nośnikiem) ataku było oprogramowanie księgowego o nazwie MEDoc, używane przez każdą osobę, która rozliczała się z podatków lub prowadziła przedsiębiorstwo. MEDoc został opracowany przez Intellecte Service, a aktualizacje tworzone były w Linkos Group. Atak obejmował około 400 000 klientów, co stanowiło 90% krajowych firm. Późniejsze analizy przeprowadzone przez firmę Eset wskazały, że 80% wszystkich infekcji skierowanych było na Ukrainę. Początkowo uznawano, że to ransomware Petya (obserwowane zachowanie i ekran okupu były takie same), jednak po dokładniejszych analizach uznano, że to inny malware, nazwano go NotPetya.


NotPetya – za pomocą MEDoc – podczas startu pobrał uaktualnianie serwera upd.me-doc[.]ua. Okazało się, że backdoor był obecny w systemie aktualizacji już od kwietnia. Wyznaczonego dnia o wyznaczonej godzinie rozpoczął szyfrowanie komputerów. Podczas zakończenia szyfrowania Master File Table (MFT – umożliwia dostęp do plików na komputerze) wyświetlone zostało żądanie okupu (rys. 3). Malware został uzbrojony w możliwości propagacji przez sieć poprzez eksploity takie jak: Eternalblue i Eternalromance, Doublepulsar (podobnie jak WannaCry). Ze względu na powiązania biznesowe światowych koncernów z ukraińskimi firmami, zainfekowane zostały duże korporacje (jedna z największych to Maersk). W dalszych analizach okazało się, że atak NotPetya nie był atakiem typu wymuszenie okupu. Z pozoru tak wyglądał, lecz w istocie był to destrukcyjny atak niszczący zawartość dysków (tzw. wiper). Do tej pory nie dokonano pewnej atrybucji dla tego ataku.

 

[...]

 

Ekspert w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"