zaloguj się POBIERZ

Okup w sieci – Ransomware w 2017 – Michał Hebda

 
27
 
lut
 
2018

Okup w sieci – Ransomware w 2017 – Michał Hebda

1. Co to jest ransomware?

Budując pozycję swojej firmy w pewnym momencie niezbędne staje się zaistnienie w sieci. Niesie to nieograniczone możliwości reklamowania swojego produktu, natychmiastowej komunikacji z dowolnego miejsca na świecie lub na przykład korzystania z zasobów współdzielonych przez dowolne osoby w firmie. Niestety zawsze w takiej sytuacji znajdą się ludzie liczący na łatwy zarobek, niekoniecznie działający zgodnie z literą prawa. Z każdym rokiem wojna crackerów z zabezpieczeniami tworzonymi przez specjalistów sieciowych przybiera na sile. Jak podaje firma ESET, tworząca popularny program antywirusowy, ataki realizowane za pośrednictwem botnetów  (sieci komputerów zainfekowanych złośliwym oprogramowaniem) na dzień dzisiejszy mają miejsce prawie 4 tysiące razy dziennie na całym świecie.

W ostatnim roku co chwilę byliśmy bombardowani niepokojącymi informacjami dotyczącymi „ransomware” (gra słów z angielskiego, powstała z połączenia słów ransom „okup” i software „oprogramowanie”). To szkodliwe oprogramowanie blokujące dostęp do systemu komputerowego lub wręcz uniemożliwiające odczyt jakichkolwiek danych na nim zapisanych, niejednokrotnie z użyciem technik szyfrujących. Program informuje właściciela zainfekowanego komputera, że system zostanie przywrócony do pierwotnego stanu jedynie w momencie zapłacenia okupu.

Oprogramowanie szantażujące przeważnie jest trojanem, wprowadzanym do systemu poprzez np. pobrany plik lub w wyniku luki w usłudze sieciowej. Uruchomiony zostaje szkodliwy kod, który przeważnie ma formę aplikacji typu scareware. Jedną z wykonywanych operacji może być wyświetlanie fałszywego ostrzeżenia (rzekomo wysłanego przez np. organy ścigania). Według tego typu ostrzeżeń, system był używany w nielegalnych celach, bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows.

Niektóre programy tego typu zawierają prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Dzieje się to zazwyczaj poprzez podmianę ścieżki powłoki systemu Windows lub nawet przez modyfikację głównego rekordu rozruchowego i/lub tablicy partycji w celu uniemożliwienia prawidłowego rozruchu systemu operacyjnego. Najgroźniejsze wersje takiego oprogramowania szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu – tak, aby tylko autor oprogramowania był w stanie je odszyfrować swoim kluczem; hakerzy rzadko korzystają ze słabych szyfrów.

Działanie tego oprogramowania dobrze obrazują słowa dyrektora do spraw bezpieczeństwa w korporacji Symantec (amerykańska firma skupiająca się na dziedzinie bezpieczeństwa danych i zarządzania informacjami), Olivera Friedrichsa: „Odpowiada to sytuacji, gdy ktoś przyjdzie do twojego domu, zamknie twoje rzeczy w sejfie i nie poda ci kombinacji”.

1

2. Najgroźniejsze ataki w minionym roku

            Warto wiedzieć czym charakteryzowały się poszczególne, najgroźniejsze ataki oprogramowania typu ransomware. Aby profilaktyka wobec nich była skuteczna, warto poznać sposób ich działania.

WannaCry

12 maja 2017 r. zaktualizowana wersja oprogramowania WannaCry o nazwie „WanaCrypt0r 2.0” uderzyła w szpitale należące United Kingdom’s National Health Service (NHS), dostawcę usług internetowych Telefonica i inne ważne cele na całym świecie. Podobnie jak w przypadku innych ataków, spełnienie żądań twórców WannaCry nie gwarantowało, że ofiara otrzymała klucz odszyfrowujący dla swoich plików.

Atak WannaCry składa się z dwóch części. Po pierwsze, mamy do czynienia z exploitem, którego zadaniem jest zainfekowanie maszyn i dalsze rozprzestrzenianie zagrożenia. Druga część to moduł szyfrujący, który jest pobierany na już zainfekowane komputery.

Obecność tej pierwszej części jest tym, co wyróżnia zagrożenie WannaCry spośród innych szkodników ransomware. W przypadku typowego narzędzia tego typu, by doszło do infekcji, użytkownik musi popełnić błąd – na przykład kliknąć podejrzany odnośnik, uruchomić załącznik z niepewnej wiadomości e-mail itp. W przypadku WannaCry do infekcji może dojść bez żadnych działań ze strony użytkownika.

2

Osoby stojące za WannaCry wykorzystały exploit dla systemu Windows, znany jako EternalBlue. Wykorzystuje on lukę załataną przez Microsoft 14 marca 2017 r. w ramach biuletynu bezpieczeństwa MS17-010. Dzięki temu exploitowi atakujący mogą uzyskać zdalny dostęp do atakowanych komputerów i zainstalować moduł szyfrujący dane.

Po pomyślnym zainfekowaniu komputera WannaCry próbuje rozesłać się na inne maszyny w sieci lokalnej – jest to działanie w stylu robaka komputerowego. Moduł szyfrujący skanuje inne komputery w poszukiwaniu luki w zabezpieczeniach, którą można wykorzystać z użyciem exploita EternalBlue i gdy to się powiedzie, cała procedura rozpoczyna się od nowa.

Zatem, gdy dojdzie do zarażenia jednego komputera, WannaCry może dokonać infekcji wszystkich maszyn działających w danej sieci i zaszyfrować przechowywane na nich dane. Dlatego w wyniku tego ataku najbardziej ucierpiały duże firmy – im więcej komputerów w danej sieci, tym większe szkody.

Jako narzędzie szyfrujące dane, WannaCry (zwany także jako WCrypt oraz WannaCry Decryptor) zachowuje się tak samo, jak inne zagrożenia tego typu. Szyfruje pliki na zainfekowanym komputerze i wyświetla żądanie okupu za przywrócenie dostępu do danych. Szkodnik w swoim zachowaniu najbardziej przypomina trojana CryptXXX.

WannaCry szyfruje różne rodzaje plików, łącznie z dokumentami biurowymi, zdjęciami, filmami, archiwami i innymi formatami, które potencjalnie mogą zawierać dane użytkowników. Rozszerzenia zaszyfrowanych plików mają postać .WCRY. Pliki te stają się niedostępne.

Po zakończeniu szyfrowania trojan zmienia tapetę pulpitu na obrazek zawierający informację o infekcji oraz listę zadań, które użytkownik ma wykonać, by odzyskać swoje dane. Dodatkowo szkodnik zapisuje te same informacje w plikach tekstowych, które są umieszczane we wszystkich folderach zawierających zaszyfrowane dane. Wszystko w celu zadbania o to, by ofiara z całą pewnością dowiedziała się o konieczności zapłacenia okupu.

Jak zwykle w takich przypadkach, atakujący oczekują od ofiar wpłacenia określonej kwoty w bitcoinach. Cyberprzestępcy twierdzą, że wówczas odszyfrują wszystkie pliki. Na początku kwota okupu wynosiła 300 dolarów lecz później została zwiększona do 600 dolarów.

W celu skutecznej ochrony przed działaniem WannaCry niezbędna jest natychmiastowa aktualizacja systemu w zakresie poprawek bezpieczeństwa. W tym celu należy przejść do ustawień Windows Update, uruchomić aktualizację systemu i cierpliwie poczekać na zakończenie tego procesu, który może potrwać od kilkunastu do kilkudziesięciu minut.

Petya

Pod koniec czerwca 2017 roku ofiarą ransomware Petya padły firmy i organizacje na całym świecie. Najwięcej szkód atak wyrządził na Ukrainie — ucierpiało między innymi kijowskie metro, Narodowy Bank Ukrainy oraz kilka lotnisk. Szkody zgłaszały także firmy międzynarodowe, takie jak Nivea, Maersk, WPP i Mondelez.

Od innych typów oprogramowania ransomware Petya różni się tym, że nie szyfruje kolejnych plików, ale blokuje dostęp do całego dysku twardego, szyfrując plik MFT (master file table), przez co nie można odczytać systemu plików, a system Windows nie daje się uruchomić. Niektóre wersje oprogramowania szyfrują zarówno pliki, jak i plik MFT — w rezultacie użytkownik nie ma dostępu do swoich danych.

Kiedy ofiara kliknie pobrany złośliwy plik .exe, pierwszą oznaką kłopotów jest pojawienie się w systemie Windows „błękitnego ekranu śmierci”. Robak Petya zaczął szyfrowanie pliku MTF i zaraz wyświetli ekran ostrzegawczy (często jest to czaszka na czerwonym tle) oraz komunikat z żądaniem płatności w walucie bitcoin w zamian za przywrócenie dostępu do komputera.

Niestety, nie ma skutecznego programu odszyfrowującego pliki zablokowane przez robaka Petya, przez co nie można odzyskać plików zaszyfrowanych przez najnowsze wersje tego robaka. Dlatego właśnie najlepszą ochroną jest profilaktyka.

Aktualizowanie systemu Windows za pomocą najnowszych poprawek zabezpieczeń ma zatem kluczowe znaczenie w ochronie przed złośliwym oprogramowaniem, takim jak Petya.

3

Kiedy pliki zostaną zaszyfrowane, nic już nie można zrobić w celu ich odzyskania. Nawet przystanie na żądanie okupu nie stanowi gwarancji odszyfrowania plików. Równie dobrze przestępcy mogą przyjąć wpłatę i zniknąć. Dlatego przede wszystkim należy zadbać o to, aby robak Petya nie dostał się na komputer.

NotPetya

Pierwsze informacje o NotPetya pojawiły się 27 czerwca, kiedy dystrybutorzy energii na Ukrainie i w Holandii potwierdzili ataki hakerskie, które dotknęły ich systemy. Niedługo potem ukraiński rząd, biura międzynarodowych koncernów w Hiszpanii i brytyjska grupa reklamowa WPP potwierdziły podobne incydenty. Badacze szybko powiązali ataki z ransomware’m Petya, m.in. zauważając, że wykorzystują tą samą lukę EternalBlue, co dystrybucja WannaCry. Po bliższym przyjrzeniu się firma Kaspersky Lab ujawniła jednak, że ransomware Petya nie stoi za tymi atakami. Odpowiedzialne szkodliwe oprogramowanie pożyczyło duże fragmenty kodu od Petya, ale nie zapewniało użytkownikom możliwości odzyskania danych. Z tego powodu firma Kaspersky nazwała zagrożenie „NotPetya”. Atak z wykorzystaniem NotPetya nie miał na celu uzyskania jak największej sumy pieniędzy. Cyberprzestępcom chodziło raczej o sparaliżowanie firm (biorąc pod uwagę efekty – głównie tych działających na terenie Ukrainy).

Z informacji przekazanych przez Departament Cyberpolicji Narodowej Policji Ukrainy wynika, że NotPetya mogła trafić na ukraińskie komputery w wyniku aktualizacji popularnego programu do zarządzania i wymiany dokumentów M.E.Doc. Miała ona powodować tworzenie pliku rundll32.exe, który analizował sieć i sprawdzał, czy jest możliwość przeprowadzenia ataku (czyli czy porty 139 i 445, wykorzystywane wcześniej przez WannaCry, są podatne). Jeśli odpowiedź brzmiała „tak”, dokonywano infekcji.

Autorzy programu M.E.Doc twierdzą jednak, że aktualizacja programu nie mogła być źródłem ataku. Sami przyznają też, że również oni padli ofiarą NotPetya. Sprawa nie jest więc jak dotąd zupełnie jasna.

Cerber Cerber jest jednym z zawodników wagi ciężkiej wśród oprogramowania ransomware. Jest to także jedno z najbardziej wydajnych zagrożeń ze swojej rodziny. Firma Microsoft wykryła więcej komputerów klasy enterprise zainfekowanych Cerberem niż jakimkolwiek innym oprogramowaniem ransomware od roku 2016. Od tego czasu w Cerberze zastosowano nowe techniki i taktyki. Malwarebytes zaobserwowało jedną z takich modyfikacji w sierpniu 2017 r. wraz z ofensywą rozpoczętą przy użyciu Magnitude Exploit Kit. Po pomyślnym wykorzystaniu trudnej do wykrycia podatności, Magnitude ładuje odmianę Cerbera, która wykorzystuje binarne wypełnienie, aby sztucznie zwiększyć jego rozmiar i tym samym wykorzystać ograniczenia skanowania charakteryzujące większość oprogramowania zabezpieczającego.

4

Cerber szyfruje różne pliki (.jpg, .doc, .raw, .avi itp.), warto wspomnieć, że Cerber dodaje rozszerzenie a.cerber (.beef) do każdego zaszyfrowanego pliku. Po udanym szyfrowaniu, Cerber wymaga od użytkowników zapłacenia okupu w celu odszyfrowania tych plików. Podczas szyfrowania, Cerber tworzy w każdym folderze zawierającym zaszyfrowane pliki 3 różne pliki (#DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html, #DECRYPT MY FILES#.vbs) zawierające instrukcje krok po kroku dotyczące płatności. Zawarta w nich wiadomość brzmi, że użytkownicy mogą odszyfrować pliki jedynie przy użyciu deszyfratora opracowanego przez cyberprzestępców (zwanego ‚Cerber Decryptor’). Plik #DECRYPT MY FILES#.vbs zawiera VBScript, który po uruchomieniu przedstawia na komputerze użytkownika komunikat „Twoje dokumenty, bazy danych i inne ważne pliki zostały zaszyfrowane!”. W celu pobrania deszyfratora należy zapłacić okup 1,24 Bitcoin (w czasie badania było to równoznaczne z 546,72 $). Jeżeli okup nie zostanie zapłacony w terminie 7 dni, kwota podwoi się do 2,48 BTC. Powiedziane jest również, że użytkownicy mogą zapłacić tylko za pomocą przeglądarki Tor i postępując zgodnie z instrukcjami podanymi na wskazanej stronie internetowej.

Takie malware jak Cerber jest najprawdopodobniej dystrybuowane poprzez złośliwe załączniki e-mail, sieci Peer to Peer (np. Torrent), fałszywe aktualizacje oprogramowania i trojany. Z tego powodu, użytkownicy muszą być bardzo ostrożni podczas otwierania załączników z nierozpoznanych wiadomości e-mail.

Bad Rabbit

Na tydzień przed Halloween Kaspersky Lab ujawniło, że otrzymało powiadomienia o masowych ostrzeżeniach dotyczących nowego oprogramowania ransomware atakującego ukraińskie i rosyjskie organizacje. Wśród ofiar znalazły się rosyjskie media takie jak Fontanka.ru i Interfax, a także system metra w Kijowie i lotnisko w Odessie. Naukowcy z ESET uważają, że ransomware uderzyło w cele również w Polsce, Korei Południowej i Stanach Zjednoczonych. Za odszyfrowanie danych atakujący żądali 0,05 bitcoina (czyli równowartość około 280 $ w momencie skoncentrowanych ataków).

5

Jeżeli chodzi o przenoszenie się między komputerami działającymi w różnych sieciach, zagrożenie prawdopodobnie wykorzystuje fałszywe aktualizacje dla Flasha i to właśnie tę metodę wskazuje się jako początkową dla Bad Rabbit. Wiadomo natomiast, że ransomware dysponuje narzędziami, które pozwalają mu na rozprzestrzenianie się wewnątrz sieci lokalnych, co powoduje ogromne straty, o ile administratorzy nie zabezpieczyli się odpowiednio przed takimi zagrożeniami.

Kiedy Bad Rabbit dostanie się do komputera, oczywiście spróbuje przenieść się również na urządzenia w sieci lokalnej. Gdy to już zostanie ukończone, dane użytkownika są szyfrowane i ostatecznie, zamieniany jest Master Boot Record. Po tym urządzenie jest uruchamiane i wyświetla się monit o zaszyfrowaniu danych i żądaniu zapłaty za odblokowanie danych.

Przynajmniej na razie nie ma żadnego sposobu na odratowanie zaszyfrowanych danych przez Bad Rabbita. Nie znaleziono dotychczas żadnych błędów, które pozwoliłyby na odwrócenie tego procesu, dlatego warto robić kopie zapasowe i oczywiście, dbać o zabezpieczenia komputerów. Najprawdopodobniej najnowsze, aktualizowane wersje Windows (7, 8.1 oraz 10) nie są podatne na Bad Rabbita z powodu łatek, które zostały zastosowane tuż po ujawnieniu się Petya oraz WannaCrypt. Jednak ci, którzy w dalszym ciągu korzystają z niezabezpieczonych urządzeń powinni się obawiać i jeżeli mogą wprowadzić aktualizacje, powinni się w nie zaopatrzyć jak najszybciej. Nawet, jeżeli zarażenie nie nastąpi poprzez fałszywą aktualizację dla Flasha, to niewykluczone, że inne zarażone urządzenie w sieci nie rozpropaguje wirusa na całą sieć lokalną dzięki podobnemu mechanizmowi jak w Petya.

Locky

Od czasu jego odkrycia w lutym 2016 r. Locky i jego ciągle mnożące się warianty opierały się na botnetach spamowych takich jak Necurs. Szkodliwe oprogramowanie poszło w niepamięć na początku 2017 roku. Jednak w sierpniu pojawiło się ponownie w jednej z największych kampanii: 23 miliony wiadomości spamowych zostało wysłane w ciągu 24 godzin.

Locky może rozprzestrzeniać się jako złośliwy dokument Word dołączony do wiadomości spamowych. E-maile, które przynoszą ransomware Locky zwykle udają wiadomości z dostarczaniem faktury. Taki szkodliwy dokument programu Word może natychmiast wykonać złośliwy proces szyfrowania w przypadku gdy makra Word są włączone.

Jeśli nie, tekst Worda pojawia się jako uszkodzony plik, a górna linia w niniejszym zakażonym dokumencie mówi „Włącz makra jeśli kodowanie danych jest niepoprawne.” Nie należy robić, tego co nakazuje.

Niestety, jeśli użytkownik komputera stara się rozszyfrować te podejrzane uszkodzone kody, może włączyć makra. W rezultacie, złośliwy kod, który jest włożony do złośliwego dokumentu programu Word zostanie uruchomiony i zainstaluje ransomware Locky na komputerze użytkownika.

Malware przychodzi jako plik wyglądający na bezpieczny, który jest w rzeczywistości zainfekowany. Zaleca się regularne tworzenie kopii zapasowych danych i przechowywanie ich na zewnętrznym dysku twardym. Niestety, Locky jest katastrofalnym wirusem, który może zablokować pliki osobiste w każdej chwili, a jedyną stu procentową metodą ochrony pozwalającą na odtworzenie plików jest importowanie ich z dysku zewnętrznego.

6

Należy jednak całkowicie wyeliminować ransomware Locky zanim to zrobimy, bo jak już wspomniano wcześniej, może on szyfrować rekordy przechowywane na dyskach zewnętrznych, które są podłączone do zainfekowanego komputera.

3. Jak chronić się przed ransomware?

Zadbaj o backup Na początek warto pamiętać o tym, by regularnie tworzyć kopie zapasowe, a najlepiej opracować plan kopii zapasowych i odzyskiwania. Przygotowane backupy natomiast powinno się przechowywać na osobnym, niepodłączonym do sieci urządzeniu.

Zaufaj profesjonalnym zabezpieczeniom Czołowi producenci oprogramowania zabezpieczającego mają w swoich ofertach programy i narzędzia do skanowania e-maili, stron internetowych i plików oraz blokowania niebezpiecznych reklam i witryn. W każdym przypadku warto z nich skorzystać.

Pamiętaj o aktualizacjach systemu i urządzeń Cyberprzestępcy nie próżnują i w miejsce jednego zablokowanego złośliwego oprogramowania tworzą trzy kolejne. Aby się przed zabezpieczyć, należy zawsze korzystać z aktualnego systemu operacyjnego oraz aktualizować urządzenia i oprogramowanie.

Aktualizuj oprogramowanie Aktualne muszą być także oprogramowanie zabezpieczające i sprzęt. Dlatego też upewnij się, że antywirus, antymalware oraz IPS (Intrusion Prevention System) są zaktualizowane do najnowszej wersji.

Korzystaj z „białej listy” „Biała lista” nie dopuszcza do pobierania oraz uruchamiania aplikacji, które nie zostały wcześniej autoryzowane. Jeśli tylko istnieje taka możliwość, warto z niej korzystać.

Podziel sieć na strefy bezpieczeństwa Sieć podzielona na strefy bezpieczeństwa to sposób na zapobiegnięcie rozprzestrzenienia się potencjalnych infekcji na całą sieć – malware nie wychodzi poza określoną strefę.

(Do pewnego stopnia) nie ufaj innym użytkownikom Do większości infekcji dochodzi w wyniku nieodpowiedzialnego zachowania jednego z użytkowników. Warto więc zadbać o to, by każdy z nich miał nadane indywidualne prawa dostępu – tak, by liczba osób mogących sprowadzić nieszczęście była jak najmniejsza.

Wdróż rozwiązania bezpieczeństwa BYOD Dziś często używamy prywatnych urządzeń do wykonywania zadań związanych z pracą. W firmie powinny zostać wdrożone rozwiązania bezpieczeństwa do inspekcji i blokowania sprzętu niezgodnego z wymogami bezpieczeństwa.

Używaj narzędzi analitycznych Dzięki narzędziom analitycznym możliwe jest określenie, co jest źródłem infekcji oraz jak długo była aktywna (i czy na pewno już nie jest), a także oszacowanie szans na jej powrót.

Uświadom użytkowników Pracownicy mogą być nieświadomi czyhających zagrożeń. Warto poinformować ich o tym, by nie uruchamiali jakkolwiek podejrzanych plików i linków. W rzeczywistości bowiem to właśnie człowiek jest najsłabszym ogniwem w łańcuchu bezpieczeństwa.

A jeśli już dojdzie do infekcji, to co robić?

Rozpocząć należy od zgłoszenia przestępstwa policji oraz skontaktowania się z ekspertami ds. cyberbezpieczeństwa. Zdecydowanie nie należy opłacać okupu (wtedy wygrywają „oni”, a my i tak nie mamy pewności, że pliki zostaną odblokowane).

Autor: Michał Hebda

  • http://www.benchmark.pl/aktualnosci/cyberatak-na-cala-europe-notpetya-grasuje.html
  • https://www.pcrisk.pl/narzedzia-usuwania/8307-cerber-ransomware
  • https://www.avast.com/pl-pl/c-petya
  • https://plblog.kaspersky.com/wannacry-ransomware/6714/
  • http://antyweb.pl/bad-rabbit-ransomware/
  • https://usunwirusa.pl/ransomware-locky/
  • https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/10-significant-ransomware-attacks-2017/
  • http://www.benchmark.pl/aktualnosci/ochrona-przed-ransomware-10-porad.html
  • https://www.eset.pl/O_nas/Centrum_prasowe,news_id,14111
  • https://en.wikipedia.org/wiki/Ransomware

REFERENCJE

ARTYKUŁY IT

PARTNERZY

CERTYFIKATY IT

Alpiq energia