Ransomware w nowej odsłonie
Ireneusz Tarnowski – ekspert ds. cyberzagrożeń w Santander Bank Polska
Po atakach WannaCry, czy Petya/NotPetya wydawało się, że powiedziane zostało już wszystko, a my poznaliśmy techniki i motywację cyberprzestępców. Jednak za sprawą wykorzystania nowych technik oraz wielu wektorów szantażu, od końca 2019 r., obserwujemy znaczące zmiany i wzrost skuteczności przestępców. Po masowych, niszczących atakach, pojawił się model Ransomware-as-a-Service (RaaS) i dobrze przygotowane ataki na mniejsze firmy i instytucje. Malware tego typu stał się produktem w świecie cyberprzestępców. W pewnym momencie odporność na samą niedostępność danych (główny cel takiego ataku) wzrosła na tyle, że prowadzone operacje przez cyberprzestępców nie były już tak atrakcyjne. Przestępcy znaleźli inny sposób na to, jak zarabiać na ransomware – dodano szantaż związany z ujawnieniem wrażliwych danych. Z nowym modus operandi pojawiły się nowe techniki. Ataki te są bardziej hybrydowe i skomplikowane, wykorzystując taktyki oraz techniki znane dla innego rodzaju cyberataków.
PIERWSZE ATAKI ŻĄDANIA OKUPU
Ransomware to rodzaj ataku DoS (Denial-of-Service, niedostępność usługi lub systemu komputerowego). W swej idei ma on na celu zatrzymać możliwość pracy na komputerze. Historycznie, pierwszym ransomware był złośliwy program AIDS, którego działanie polegało na szyfrowaniu nazw plików na dysku C. Począwszy od roku 2005, wraz z powszechnością internetu, zaczęły pojawiać się złośliwe programy, które blokowały ekran oraz wybrane funkcje systemu Windows, uniemożliwiając pracę. W pierwszych atakach ofiary wybierano losowo, wykorzystując metodę „wodopoju”. Szybko jednak opracowano instrukcje w jaki sposób ją zneutralizować i przywrócić komputer do pełnej funkcjonalności. W tych pierwszych atakach wyświetlano komunikat podszywający się pod Policję, czy inne służby bezpieczeństwa i grożono konsekwencjami w przypadku nie zapłacenia kary. Od roku 2013 cyberprzestępcy zaczęli używać ransomware szyfrującego pliki. Pojawił się malware o nazwie Cryptolocker, który rozprzestrzeniał się za pośrednictwem zainfekowanych stron internetowych i złośliwych załączników do wiadomości e-mail. Utworzenie kryptowalut (Bitcoin, 2009) stworzyło metodę, by opłata okupu stała się anonimowa. To znacząco uprościło schemat działania przestępców. Cryptolocker używał algorytmu AES-256 do szyfrowania plików oraz wykorzystywał serwery zarządzające (Command and Control, C2) rozproszone w botnecie Zeus, a komunikacja pomiędzy ofiarą a serwerem dystrybuującym klucze do odszyfrowania odbywała się przez sieć Tor. Wszystkie te techniki sprawiły, że znacznie trudniej było wyśledzić stojących za tymi atakami przestępców. Użycie serwerów zarządzających (C2) przez Cryptolockera znacząco przyczyniło się do jego upadku. Botnet Zeus został w dużej części zniszczony w 2014 roku i malware opierający swoje działanie na infrastrukturze Zeusa przestał być groźny.
WANNACRY, PETYA, NOTPETYA
12 maja 2017 r. nastąpił światowy atak WannaCry [7][8], po którym każdy już usłyszał i zrozumiał znaczenie ransomware. Można powiedzieć, że nowy malware stanowił połączenie dwóch dobrze znanych technik:
- Szyfrowanie zawartości dysku (jak typowy cryptoloker);
- Samodzielne rozprzestrzenianie się w sieciach komputerowych, jak typowy wirus typu robak (wykorzystywał lukę w obsłudze protokołu Microsoft Server Message Block 1.0 (SMBv1) pozwalającą na zdalne wykonanie dostarczonego kodu na komputerze ofiary. Jest to podatność, którą opublikował Microsoft 17.03.2017 roku w biuletynie bezpieczeństwa MS17-010; kod wykorzystujący tę podatność to eksploit EternalBlue).
W 2018 roku odpowiedzialność za ten atak przypisano grupie hackerskiej Lazarus (APT38).
Niespełna miesiąc po zawirowaniach wynikających z WannaCry, świat odczuł kolejny bardzo destrukcyjny atak. W dniach 27–28.06.2017 r. zaatakowane zostały niemal wszystkie systemy komputerowe na Ukrainie. Wektorem ataku było oprogramowanie księgowego o nazwie MEDoc, używane przez każdą firmę, która rozliczała się z podatków lub prowadziła przedsiębiorstwo. Atak tym samym obejmował około 400 000 klientów, co stanowiło 90% krajowych firm. Początkowo uznawano, że to ransomware Petya (obserwowane zachowanie i ekran okupu był taki sam), jednak po dokładniejszych analizach uznano, że to inny malware, nazwano go NotPetya. NotPetya za pomocą MEDoc podczas startu pobrał uaktualnianie serwera upd.me-doc[.]ua. Okazało się, że backdoor był obecny w systemie aktualizacji już od kwietnia. Wyznaczonego dnia, o wyznaczonej godzinie rozpoczął szyfrowanie komputerów. Podczas zakończenia szyfrowania Master File Table (MFT – umożliwiał dostęp do plików na komputerze) wyświetlone zostało żądanie okupu. Malware został uzbrojony w możliwość propagacji przez sieć poprzez eksploity takie jak: Eternalblue i Eternalromacne, Doublepulsar (podobnie jak WannaCry). Ze względu na powiązania biznesowe światowych koncernów z ukraińskimi firmami, zainfekowane zostały duże korporacje (jedna z największych to Maersk). W dalszych analizach ustalono, że atak NotPetya nie miał na celu wymuszenie okupu. Z pozoru tak wyglądał, lecz w istocie był to destrukcyjny atak niszczący zawartość dysków (tzw. wiper). Do tej pory nie dokonano dla niego pewnej atrybucji.
EWOLUCJA ATAKÓW I NOWA GENERACJA RANSOMWARE
Przestępcy zauważyli, że ataki stały się nieopłacalne, gdyż ofiary nie płaciły okupu. Natomiast stałe poprawianie złośliwego kodu to koszt. W pewnym momencie jeden z malware – GrandGrab, który był zaawansowanym koniem trojańskim z opcją szyfrowania plików, zmienił swój model biznesowy. Jego twórca postanowił poprawić narzędzie i zrobić z niego usługę internetową. W ten sposób powstał model RaaS – Ransomware-as-a-Service [9]. Oprogramowanie musiało być stale rozwijane i uwzględniać nowe podatności do wykorzystania oraz nowe techniki detekcji (aby je omijać). W połowie 2019 roku twórca tego oprogramowania ogłosił sprzedaż kodów malware [10]. Początkowo wszyscy myśleli, że era ataków wymuszających okup, w których szyfrowane są dyski dobiega końca. Największy program nie jest już rozwijany, firmy stały się odporne, a dostarczenie malware i infekcja jest coraz trudniejsza. Pojawił się następca – Sodinokibi. Przyjmuje się, że na bazie kodów GrandCrab wytworzona została nowa generacja malware.
31 grudnia ub.r. przeprowadzono skuteczny cyberatak na Travelex – jedną z największych na świecie firm obsługujących wymianę walut. Najpierw wykradziono około 5 GB danych, a następnie rozpoczęto szyfrowanie systemów. Początkowo przestępcy domagali się 3 mln dolarów okupu, jednak szybko zwiększyli wysokość żądania do 6 mln dolarów. To często stosowana strategia – szybka płatność daje niższą cenę, a gdy ofiara zastanawia się za długo, opłata za odszyfrowanie rośnie. Jednakże w tym przypadku przestępcy żądali okupu nie tylko za odblokowanie dostępu do systemów, ale także za nieupublicznianie wykradzionych z firmy informacji. Przedmiotem kradzieży padły wrażliwe dane klientów firmy Travelex, w tym numery kart kredytowych i informacje o transakcjach finansowych. Atak najprawdopodobniej udał się dzięki brakom w aktualizacjach krytycznych usług. Przestępcy bacznie poszukują najsłabszego punktu w organizacjach. Takim punktem w firmie Travelex była infrastruktura, a dokładniej serwery VPN Pulse Secure.
CVE-2019-11510 to krytyczna luka w zabezpieczeniach, upubliczniona 22 marca 2019 r., umożliwiająca zdalne ujawnienie plików w Pulse Connect Secure. Wykorzystanie tej luki jest bardzo łatwe – poziom jej ważności wyceniono na 10 w dziesięciostopniowej skali Common Vulnerability Scoring System (CVSS). Błąd może pozwolić zdalnemu, nieuwierzytelnionemu atakującemu na uzyskanie nazw użytkowników i haseł w postaci jawnego tekstu z podatnych serwerów. Luka została wykorzystana do uzyskania dostępu do sieci wewnętrznej. Mając dostęp do wewnętrznej infrastruktury (poprzez przejęte serwery VPN) malware wykorzystał podatność związaną z deserializacją w serwerze Weblogic (CVE-2019-2725) oraz podatność typu Elevation of Privilege w sterowniku Win32k (CVE-2018-8453) w systemie Windows. W ten sposób uzyskano konto i uprawnienia administratora domeny. Do poruszania się po sieci (element Lateral Movement) wykorzystano VNC, zainstalowano psexec jako plik java.exe. Następnie wyłączono mechanizmy bezpieczeństwa na komputerach końcowych, a malware Sodinokibi został przekazany do wszystkich systemów przez psexec.
To był przypadek, w którym stawką nie było tylko odzyskanie danych, aby zapewnić utrzymanie ciągłości działania firmy, ale także ochrona ich poufności. Finalnie przestępcy opublikowali najpierw próbkę danych, po czym wszystkie, wykradzione informacje.
Atak ten otworzył nową epokę ataków ransomware – opłata za nieujawnianie tajemnic firmowych.
NOWY MODEL OPERACYJNY
Przestępcy wyszukują luki w infrastrukturze (znane podatności, słabe hasła, błędy konfiguracyjne) i zdobywają tzw. przyczółek w organizacji. Nie atakują zwykłych internautów, lecz skupiają się na dużych korporacjach, bankach, instytucjach, ministerstwach. W kolejnym kroku starają sie przejąć kontrolę nad jak największą liczbą komputerów, poprzez przejęcie kluczowych systemów (np. Serwer Active Directory) lub zdobyć systemy z wartościowymi informacjami, np. serwery plików, systemy finansowe, czy też serwery zespołów naukowych R&D. Kluczowym elementem ataku, jest wytransferowanie plików z firmy i zaszyfrowanie tych, które pozostały. Na końcu pozostaje publiczne ogłoszenie ataku i negocjacje cenowe.
Analiza znanych ataków z 2020 roku pokazuje, że istnieje 67 znanych podatności, z których korzystają przestępcy do przełamania zabezpieczeń, podniesienia uprawnień oraz propagacji malware po wewnętrznej infrastrukturze [1][2][3].
Od 1 stycznia 2020 r. do 25 września 2020r. zarejestrowano 700 ofiar tego typu ataków oraz 17 grup cyberprzestępców [4]. Grupy te związane są poszczególnymi rodzinami złośliwego oprogramowania i są to: Maze, Sodinokibi (REvil), Netwalker, WestedLocker, RagnarLocker, Conti, DoppelPaymer, Nefilim, AKO, Sekhmet, Suncrypt, DarkSide, Avaddon, Clop.
Każda z grup publikuje listę swoich ofiar wraz z informacjami o etapie negocjacji. Najbardziej znane ofiary ataków to:
- Garmin – malware WastedLocker, potwierdzone zapłacenie 10 mln dolarów okupu;
- Banco Estado Chile – malware Sodinokibi;
- Canon USA – malware Maze;
- Orange S.A. – malware Nefilim;
- The Volksvagen Group – malware Conti.
JAK SIĘ CHRONIĆ
Kluczowym elementem ataku jest zdobycie przyczółka w organizacji. Infrastruktura oraz umiejętność zarządzania bezpieczeństwem komponentów eksponowanych do internetu stały się priorytetowe dla bezpieczeństwa. Praktycznymi metodami ochrony przed atakami jest aktualizacja podatnych komponentów infrastruktury (PulseSecure VPN – CVE-2019-11510, WebLogic – CVE-2019-2725, Microsoft Windows – CVE-2018-8453). Trzeba zauważyć, że w roku 2019 ujawniono znacznie więcej niż wcześniej krytycznych luk w komponentach i oprogramowaniu, będących bramami do sieci wewnętrznej (tj. Fortigate SSL VPN, Pulse Secure SSL VPN, Global Protect Palo Alto Networks czy Citrix ADC / Citrix Gateway). Każdy, kto nie załatał tych podatności, musi liczyć się z tym, że jest łatwym celem dla cyberprzestępców. Oczywiście nadal system pocztowy i spearphishing pozostaje wektorem ataku. Po uzyskaniu początkowego dostępu, przestępcy przechodzą do fazy podniesienia uprawnień, rozprzestrzeniania się poziomego w infrastrukturze, tworzenia kodów, wykradania danych i finalnie szyfrowania.
Poniżej lista działań „utwardzających”, mających na celu ograniczenie ekspozycji na atak ransomware:
- Stała analiza i identyfikacja podatności we własnej infrastrukturze. Eliminacja wszystkich znanych podatności. Szczególną uwagę należy zwrócić na podatności w komponentach dostępnych z internetu.
- Analiza konfiguracji serwisów i aplikacji (eliminacja domyślnych ustawień, domyślnych haseł, zbędnych usług). Ograniczenie do niezbędnego minimum używania kont serwisowych.
- Silna segmentacja sieci, z dokładnie ustalonymi regułami komunikacji pomiędzy strefami.
- Ograniczenie dostępu z zewnątrz do usług typu RDP (Remote Desktop).
- Wykrywanie i blokowanie używania programów kradnących hasła (m.in. mimikatz) oraz podnoszących uprawnienia.
- Uniemożliwienie wykorzystania narzędzia PsExec oraz innych narzędzi administracyjnych, których nie kontrolujemy jako firma. W tym kontekście, należy przeanalizować narzędzia typu LOLBins (Living off the Land Binaries) [5] i wdrożyć mechanizmy wykrywania niewłaściwego ich użycia. Tu szczególnie należy zwrócić uwagę na Powershell (najlepiej ograniczyć używania go tylko do podpisanych skryptów).
- Wykrywanie zmian w rejestrach systemów oraz harmonogramie zadań (w szczególności dodawania wpisów mających na celu uruchomianie programów po restarcie systemu, zmianę ustawień sieci, zmianę certyfikatów, czy konfiguracji programów antywirusowych).
- Hardening polityki domeny windowsowej (GPO).
- Ograniczenie możliwość komunikacji z infrastrukturą przestępców (serwery C2) poprzez wdrożenie reputacyjnych usług DNS oraz proxy dostępu do internetu, mogących wykrywać tunelowanie ruchu, czy komunikację zwrotną do C2 (C2 callbacks, beaconning).
Jednak nie wystarczy patrzeć na „tu i teraz”, na „dzisiaj”. Trzeba zbudować politykę bezpieczeństwa infrastruktury, uwzględniającą proces pozyskiwania informacji o słabościach, usuwania tych słabości, wykonywania regularnych testów bezpieczeństwa. Historia malware typu ransomware pokazuje, jak przestępcy adaptują się do zmieniających się okoliczności i szybko potrafią zaatakować w coraz to nowy i bardziej dotkliwy sposób.
Przypisy:
- https://us-cert.cisa.gov/ncas/alerts/aa20-133a
- https://go.recordedfuture.com/hubfs/reports/cta-2020-0204.pdf
- https://risksense.com/wp-content/uploads/2019/09/RiskSense-Spotlight-Report-Ransomware.pdf
- https://twitter.com/darktracer_int
- https://www.sentinelone.com/blog/how-do-attackers-use-lolbins-in-fileless-attacks/
- https://www.cbronline.com/news/ransomware-top-5-vulnerabilities
- https://www.cert.pl/news/single/wannacry-ransomware/
- https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
- https://zvelo.com/raas-ransomware-as-a-service/
- https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-2-billion