Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

WannaCry? Analiza groźnego ataku szyfrującego dane

Data publikacji: 26-06-2017 Autor: Ireneusz Tarnowski
RYS. 1. SCHEMAT DZIAŁANIA...

Dzisiaj każdy, kto kieruje firmą lub jednostką wykorzystującą systemy komputerowe, musi obowiązkowo rozważyć scenariusz jej działania bez komputerów czy też bez danych zgromadzonych w systemach informatycznych. Nie jest to wizja z futurystycznych filmów science fiction – tak może wyglądać rzeczywistość po globalnym ataku cybernetycznym. Pewną próbą realizacji takiego scenariusza był 12 maja tego roku – dzień rozprzestrzeniania się malware'u WannaCry. Co zatem powinniśmy zrobić, zanim ktoś zaszyfruje nam wszystkie komputery w firmie?

Ransomware to złośliwe oprogramowanie (malware), które po wprowadzeniu do systemu ma zmusić użytkownika komputera do konkretnego działania. Najczęściej podejmuje próbę wymuszenia zapłaty okupu we wskazanej wysokości, zazwyczaj płaconego w wirtualnej walucie (np. bitcoin). Użycie kryptowaluty do zapłaty okupu ma na celu zatarcie śladów, jakie mogłyby zostać po dokonaniu tradycyjnych transferów pieniężnych. Transakcje w pseudowalucie zapewniają obu stronom pełną anonimowość.

Analizując proces komputerowych wymuszeń okupu, należy zwrócić uwagę na dwa ważne elementy – metodę ataku oraz metodę wymuszenia.

Metoda ataku, czyli w jaki sposób dostać się do systemu, w jaki sposób rozpocząć swoje działanie. Zazwyczaj nie są tu stosowane wyrafinowane metody. Najczęstsza to socjotechnika – poproszenie użytkownika, by sam zainstalował wirusa w swoim komputerze. Wydaje się to niewiarygodne, ale jest rzeczywiście skuteczne. Wykorzystując różne scenariusze i podszywając się pod zaufaną, znaną użytkownikowi instytucję, namawia się go do otwarcia dokumentu. Jedno kliknięcie wystarcza, aby z pozoru typowy plik (np. faktura za usługi telekomunikacyjne) zainicjował cały ciąg działań, które w finale spowodują utratę cennych danych. Inną metodą jest namówienie użytkownika do odwiedzenia specjalnie spreparowanej strony internetowej. Na stronie tej przygotowany jest wirus, który poprzez przeglądarkę rozpoczyna wieloetapową infekcję systemu. W ostatnim czasie pojawił się również ransomware, który rozprzestrzeniał się bez udziału użytkownika – typowy robak wykorzystujący „dziury” w bezpieczeństwie usługi sieciowej.

Metoda wymuszenia to znalezienie takiego działania, by ofiara zapłaciła okup. Obecnie najpopularniejszym takim działaniem jest szyfrowanie plików użytkownika komputera. Czasami szyfrowane są wybrane rodzaje plików, takie jak dokumenty (DOC, PDF, PPT, XLS) czy pliki graficzne. Innym razem szyfrowane są całe dyski ofiary. Efekt końcowy jest taki sam – użytkownik traci to co ma najcenniejszego w komputerze – swoje osobiste dane. Jeżeli nie tworzył kopii zapasowych lub dane mają znaczącą wartość zawodową lub prywatną, sentymentalną, to rośnie prawdopodobieństwo, że ofiara zapłaci okup, by odzyskać dostęp do swoich cennych plików.

Ataki komputerowe szyfrujące dyski stały się niezwykle popularne wśród cyberprzestępców. Przyczyn jest kilka:

 

  • łatwość dotarcia do bardzo dużej liczby odbiorców (potencjalnych ofiar). Dzięki temu można atakować na ślepo, na bardzo dużą skalę i w dużym rozproszeniu geograficznym. W pierwszej fazie ataku – dostarczeniu malware’u użytkownikowi – wykorzystuje się kampanie phishingowe, w tym tzw. spearphishing, który jest dokładnie przygotowywany pod konkretną grupę odbiorców (np. wysyłanie sfałszowanych faktur operatora telekomunikacyjnego);
  • niski koszt utworzenia tego typu oprogramowania. Modułowa budowa oprogramowania sprawia, że można modyfikować poszczególne komponenty i rozpowszechniać nowe wersje ransomware, używające coraz to nowszych metod omijania narzędzi ochrony, takich jak oprogramowanie antywirusowe, zapory ogniowe czy zaawansowane systemy detekcji zagrożeń;
  • łatwość ukrycia się przestępców. Sposób dystrybucji malware’u poprzez sieć przejętych komputerów (botów) oraz wykorzystanie kryptowaluty do spieniężenia okupu sprawiają, że śledzenie i dotarcie do źródeł ataku jest niezmiernie trudne.


Powyższe cechy sprawiły, że ten rodzaj przestępstwa charakteryzował się największą dynamiką wzrostu w 2016 roku (w skali roku odnotowano wzrost liczby ataków o 6000 punktów proc.).

> Jak wygląda atak

Pierwszym elementem ataku jest dostarczenie złośliwego oprogramowania do komputera ofiary. Jak wspomniano, najpopularniejszą metodą jest wykorzystanie poczty elektronicznej i socjotechniki – wysłanie wiadomości z załączonym plikiem, w którym znajduje się fragment złośliwego oprogramowania. Plik ten może być plikiem pdf lub MS Word z aktywną treścią. Treść wiadomości musi być wiarygodna i tak przygotowana, by odbiorca bez wahania otworzył załącznik. Obserwowano podszywanie się pod firmy kurierskie, instytucje pocztowe, operatorów telekomunikacyjnych. Treść e-maila sugeruje, że w załączniku jest faktura, list przewozowy, nowa umowa lub inne ważne dokumenty – najważniejsza jest wiarygodność. Złośliwy kod w dokumencie wykorzystuje lukę w systemie operacyjnym lub oprogramowaniu obsługującym plik i dokonuje dalszej infekcji. Wykorzystywane są zarówno znane luki, które z różnych przyczyn nie zostały załatane (zaktualizowane), jak i nowo odkryte podatności (tzw. zero-day exploit). Przestępcy starają się przeprowadzić cały atak jak najszybciej, najlepiej w czasie od poznania podatności do momentu, kiedy producent opublikuje aktualizację swojego oprogramowania. Z tego względu bardzo ważne jest, by instalować aktualizacje oprogramowania tak szybko, jak to jest możliwe (analizując wcześniej ich wpływ na całe środowisko pracy w firmie).

[...]

Specjalista we Wrocławskim Centrum Sieciowo-Superkomputerowym zajmujący się administracją systemami IT oraz bezpieczeństwem usług sieciowych. Miłośnik defensywnego podejścia do cyberbezpieczeństwa. Niezależny konsultant i analityk cyberbezpieczeństwa w ramach inicjatywy Blue Cyberspace

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"