Ransomware – aneb poznejte kybernepřítele číslo 1

DSM 3/2020 Zobrazení: 994
Ransomware – aneb poznejte kybernepřítele číslo 1

Ransomware je vysoce účinná strategie kybernetické hrozby. Během desetiletí, která uplynula od prvního známého útoku, se tento typ škodlivého softwaru rozšířil do všech oblastí lidského života podporovaných počítačovou technologií. A proto je ransomware dost možná největší hrozbou pro stabilitu kybernetického světa. Připadá vám nadpis článku poněkud nadnesený? Přinášíme vám fakta, abyste si mohli udělat vlastní názor.

 

výkupné          hackerský útok           škodlivý software

 Co je to ransomware

Je to škodlivý vyděračský software, jehož primárním cílem je finanční zisk. Na rozdíl od jiných typů malwaru, které se snaží „pouze“ získat přístup do vašeho zařízení, ransomware vám navíc zablokuje nebo zašifruje data. Na základě toho pak útočník žádá výkupné. Aby se platba nedala identifikovat, požaduje zaplacení výkupného např. v bitcoinech či jiné kryptoměně. V těchto případech, stejně jako u ostatních případů vydírání, platí zásada výkupné neplatit, zaplacením totiž jen podpoříte další rozvoj malwaru, a tedy další útoky! A jak se takový virus vlastně do počítače dostane? Ransomware se šíří po světě nejčastěji v podobě trojského koně, jako červ ve formě infikovaného souboru či se dostane do systému skrze chybu v zabezpečení.

A nyní trochu historie

První všeobecně známý útok ransomwaru se stal již v roce 1989 a jeho autorem byl akademik Joseph Popp, PhD. Cílem útoku se stali pracovníci zkoumající AIDS, pro které vytvořil 20 000 infikovaných disket a rozeslal je do 90 zemí světa. Diskety obsahovaly malware, který se aktivoval až po 90. restartu počítače, kdy se zobrazila zpráva s požadavkem na zaplacení výkupného ve výši 189 USD, plus 379 USD za pronájem softwaru. Ransomware vešel do dějin pod názvem AIDS Trojan nebo PC Cyborg. Popp byl prohlášen za duševně chorého a nebyl souzen, také slíbil finanční prostředky, které vydělal díky svému malwaru, věnovat na podporu výzkumu nemoci AIDS.

Loni tato strategie „oslavila“ 30. výročí, i když se poté na čas ocitla na vedlejší koleji. Znovu se ransomware začal objevovat v Rusku kolem roku 2012. Zprvopočátku1 se jednalo pouze o blokaci přístupu do zařízení, přičemž záminkou byl nelegální obsah, jako jsou videa, hudba nebo software. Později ransomware začal šifrovat data, která dokázal rozšifrovat pouze útočník po zaplacení požadované částky výkupného.

Jak se ransomware šíří

Dlouhodobě je nejběžnější formou útoku e-mail. Útočník v rámci kampaně odeslal klidně milióny e-mailů a čekal, až některá z obětí otevře infikovanou přílohu, a tím ransomware zaktivuje. Po zaplacení výkupného oběti odeslal dešifrovací klíč. Takto funguje např. jedna z největších hrozeb posledních měsíců, virus Emotet2, který stál na začátku prosincového kyberútoku na nemocnici v Benešově (v podvrženém e-mailu byla příloha s falešnou fakturou).

Níže je ukázka e-mailu, který vypadá právě jako upomínka zaplacení neuhrazené faktury. Toto je velmi častá strategie distribuce ransomwaru. Ve skutečnosti to není faktura, ale jedná se o MS Office Word dokument, který obsahuje škodlivý kód. E-mail je sice přeložený do docela dobré češtiny, ale všimněte si, že e-mailová adresa odesílatele je Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.. Je na první pohled zřejmé, že jde o neznámého odesílatele, se kterým oběť pravděpodobně nemá žádný obchodní vztah. Aby byl obrázek kompletní, tak v době, kdy byl tento e-mail doručen do poštovní schránky, rozpoznávaly možnou infikaci souborů Microsoft Office Word pouze 4 z 59 nejběžnějších antivirů3.

Screenshot 2020 10 04 at 20.41.28

Dalším rozšířeným způsobem, jak dostávají útočníci ransomware k obětem, jsou sociální sítě, resp. zprávy na chatovacích platformách, z nichž jednou z nejvýznamnějších je Facebook Messenger. Při takovém útoku si útočníci vytvořili účty, které napodobovaly účty přátel uživatele oběti, a z nich pak odesílali zprávy s přílohou. Když takovou přílohu – nejčastěji obrázek ve formátu svg (může obsahovat kód javascript) – oběť útoku otevřela, byla přesměrována na jinou webovou stránku, třeba na www.youtube.com. Tady byla umístěna výzva, že před shlédnutím videa je potřeba instalovat doplněk do prohlížeče, tedy zakamuflovaný ransomware, který po úspěšné instalaci získal přístup k zařízení, napadl jej a v tichosti začal šifrovat. Psal se rok 2016 a jméno dostal Locky ransomware.

Screenshot 2020 10 04 at 20.41.43Dalším běžným způsobem pro šíření ransomwaru jsou online pop-up vyskakovací okna v internetovém prohlížeči. Jde o starší, nicméně stále účinný způsob. Vyskakovací okna napodobují vzhled známých softwarů, takže uživatele matou pocitem, že se dostali do známého prostředí, např. antivirového programu. Okna obsahují výzvy, jejichž texty jsou navrženy tak, aby oběti ublížily.

Screenshot 2020 10 04 at 20.45.59

Nepřítel je stále o krok napřed

Způsoby šíření ransomwaru se stále vyvíjí. Dříve vývojáři používali vlastní kód, který bylo relativně snadné identifikovat pomocí téměř jakéhokoli antiviru díky signatuře. Dnes se stále více spoléhají na „běžně dostupné nástroje“, které využívají k obtížnější identifikaci ransomwaru nebo k sofistikovanějším útokům. Pro zvýšení efektivity nevyužívají jen phishingové útoky, které odhalí běžný spam filtr, ale tzv. spear-phishingové útoky, které jsou přesně cílené a vysoce úspěšné. Tyto nástroje vyvíjejí organizované skupiny, které nabízejí ransomware-as-a-service, což vedlo k velkému šíření známých ransomwarů, jako je CryptoLocker, CryptoWall, Locky a TeslaCrypt. Jen samotný CryptoWall vygeneroval více než 325 mil. USD6.

Jiný způsob šíření si vybrali autoři kryptoviru Zeppelin7 odhaleného v listopadu 2019. Jde o vysoce konfigurovatelný ransomware založený na metodě Delphi. Kromě toho, že si útočníci mohou nastavit, které funkcionality povolit a které soubory zašifrovat, mohou si v builderu Zeppelinu jednoduše nakonfigurovat obsah textového souboru s žádostí o výkupné. Lze jej nasadit ve formátech EXE a DLL nebo se dá zabalit a nahrát přes PowerShell. Ke svému šíření chytře využívá strategii watering hole neboli napajedla, kdy si útočník zjistí, že uživatelé z cílové organizace často navštěvují určité webové stránky, a ty poté infikuje právě PowerShellovými „výbušnými hlavicemi“.

Již v květnu 2017 se objevil ransomware zvaný WanaCry, který využil zranitelnosti v operačních systémech Microsoft Windows známé pod názvem EternalBlue. Toto zneužití měla vyvinout Agentura pro národní bezpečnost (NSA) ze Spojených Států. Útok byl zastaven během několika dnů díky nouzovým opravám vydaným společností Microsoft a nastavení, které znemožňovalo jeho další šíření. Odhaduje se, že WanaCry zasáhl více než 200 000 počítačů ve 150 zemích světa a škody se odhadují na stovky miliónů až miliardy amerických dolarů. USA, Austrálie a Velká Británie nicméně oficiálně tvrdí, že za útokem WanaCry byla Severní Korea.8

Screenshot 2020 10 04 at 20.48.57

Dnes se opravdu nejedná pouze o útoky přes e-mail. Útočníci mají z ransomwaru nemalé finanční prostředky, které používají k vývoji stále nových typů útoků. A hlavně nevyužívají k útočení pouze nástroje, ale i lidské zdroje. Během akce přemýšlejí, dokážou průběžně reagovat na informace, a protože to nedělají poprvé, rychle se zorientují ve vašem prostředí a reagují na něj. Příkladem takového chování může být opět Emotet, který v době vánočních svátků zastavil phishingovou kampaň, útočníci si doslova vzali volno, protože věděli, že vzhledem k dovoleným by se účinnost kampaně mnohonásobně snížila.

Útočníci jdou dnes ještě dále. Zaměřují se na organizace, které outsourcují IT služby9, a tímto způsobem dokážou napadnout více organizací najednou. Útočníci si dnes zjišťují, jakou napadli organizaci, a upravují výši výkupného až do výše miliónů amerických dolarů.10, 11

Screenshot 2020 10 04 at 20.40.37

Jak probíhá ransomware útok dnes a co vše se vám může přihodit

  • Útočníci využijí známou zranitelnost exponovanou do internetu (nejčastěji RDP, SSL VPN a jiné). Tedy necílí konkrétně na vaši organizaci.
  • Po průniku do interní sítě/zařízení útočníci velmi dobře vědí, co mají hledat (hesla, administrátorské účty, zálohy, antivirový software).
  • Útočí mimo pracovní dobu, v noci a víkendech, kdy mají dostatek prostoru, času a možností, jak napáchat větší škody. Postupně, typicky díky špatné segmentaci interní sítě, ji ovládnou. Stáhnou si seznam uživatelských účtů z Active Directory, ukradou RDP sessions, rychle oskenují porty na interní síti, přečtou si hesla uložená v prohlížečích, až nakonec ovládnou účet doménového administrátora.
  • Umí centrálně vypnout, rozbít nebo odinstalovat antivirovou ochranu.
  • Zašifrují vám zálohy – když nemáte zálohy, musíte zaplatit výkupné.
  • Vytvoří si „vzdálený přístup“ ovládání pro případ, že budou odhaleni.

Že to vypadá jako ze sci-fi filmu? Bohužel to jsou reálné příběhy „zašifrovaných“ firem, se kterými jsme se setkali během několika posledních let při forenzním vyšetřování kybernetických incidentů. Není výjimkou, že od prvního kontaktu útočníka k ovládnutí celé organizace, tedy ovládnutí doménového administrátora, uběhnou pouze desítky minut. Setkali jsme se i s útočníky, kteří s vámi budou komunikovat a smlouvat, než vám zašlou dešifrovací klíč.

Jak známo, s úspěchem roste chuť. Rostou i zisky a útoky jsou stále sofistikovanější. Proto je velmi důležité provádět preventivní komplexní kybernetické audity, neboť se poslední dobou setkáváme stále častěji s útoky, kdy útočníci zkopírují firemní data a vyvedou je mimo firmu. Jako důkaz, že vaše data vlastní, vám poskytnou vzorek a objem dat a žádají výkupné. I když si data obnovíte ze zálohy, pravidlo máme zálohy = neplatíme výkupné, již neplatí. Jednotlivé firmy pak musejí zvážit, jaké bude mít případné uveřejnění dat dopady, a podle toho se rozhodnout, zda zaplatí.

Jak se obecně bránit ransomwaru

  • Provádět pravidelné audity kybernetické bezpečnosti, které odhalí slabá místa v infrastruktuře:
    • Komplexní penetrační testy, interní a externí sítě, DMZ.
    • Vulnerability assessment.
    • Test phishingového útoku.
    • Revize konfigurace kritických zařízení a systémů.
  • Správná segmentace sítě:
    • Vytvářet routované VLANY (Virtual Local Area Networks) ne bridgované.
    • Správně nastavovat ACL pravidla pro prostup mezi VLANY (minimalizace přístupů omezených na jednotlivé porty potřebných služeb).
    • Pro správce vytvářet Admin VLAN.
    • Vytvářet oddělená VLAN pro management zařízení.
    • Vytvářet oddělená VLAN pro servery od zbytku sítě.
  • Vytvářet delegované uživatelské účty (oddělit uživatelské účty od administrátorských).
  • Zabezpečit delegované účty pomocí MFA autentizace.
    • Využít PKI infrastruktury, která je součástí Windows prostředí (implementace PKI/smart karet je pouze konfigurační záležitost).
  • Vynutit zakázání používání účtu doménového administrátora! Tento účet patří do trezoru!
  • Využívat pouze podporované OS.
  • Používat SAW = Secure Admin Workstation pro přihlašování na servery13.
  • Nasadit administrátorský TIER model, který zajistí oddělený přístup ke stanicím, serverům a kritickým prvkům (doménové kontrolery) a znemožní přístup z jedné vrstvy (TIERU) do jiné14.
  • Používat proxy server, který bude minimalizovat komunikaci směrem do internetu/whitelisting.
  • Monitorovat zranitelnosti na perimetru na denní bázi.
  • Nasadit kvalitní antivirové řešení na koncových stanicích i na serverech.
  • Dobře nastavit patch management.
  • Zvolit kvalitní provozní monitoring, který dokáže odhalit a informovat správce o případných problémech typu ransomware (IO na diskových polích).
  • Zavést security monitoring/Security Operation Center.
  • Připravit a otestovat Disaster Recovery plány a mít je vytištěné či v offline podobě.
  • Připravit Incident Response plány a mít je vytištěné či v offline podobě.
  • Mít nástroj na sledování a uchovávání síťového provozu (FLOW) jako důležitý nástroj při forenzním vyšetřování bezpečnostních incidentů.
  • Školit uživatele i IT odborníky.
  • Dělat offsite zálohy.
  • Vytvářet APP whitelisting.

Závěrem

Ransomware tu je a bude tak dlouho, dokud tu budou počítače. Je nebezpečný, protože za ním stojí velmi chytří lidé, kteří jdou za svým cílem bez ohledu na to, zda tím uškodí ostatním. Útok hackerů se může dotknout i vás, a to jak v práci, tak i v osobním životě. Třeba když napadnou vaši nemocnici, školu, kam chodí vaše děti, nebo výrobce sportovní aplikace, která spravuje data o vašich výkonech. Nebo když se zablokuje počítač, na kterém pracujete z domova. Proto nepodceňujte prevenci a nenechte se vydírat.

Jste-li uživatel, pořiďte si kvalitní antivirový program, a když se vám v e-mailu nebo chatu něco nezdá, rozhodně na to neklikejte. Jste-li IT specialista, neusínejte na vavřínech. Algoritmy nasazené před rokem už letos nejsou 100 % účinné. Připravte si opravdu dobré kontrolní mechanismy, zapojte moderní technologie a nebojte se využít podpory umělé inteligence (AI). Chraňte svá data, abyste nemuseli platit výkupné. Protože zaplatí-li jen jedna napadená společnost, útočník získá peníze na to, aby škodil ostatním, a spirála se dále roztáčí.

Screenshot 2020 10 04 at 20.40.09Screenshot 2020 10 04 at 20.40.19

 

 

 

 

 

 

 

 

Poznámky pod čarou:

  1. https://www.fbi.gov/news/stories/new-internet-scam/new-internet-scam
  2. https://www.lidovky.cz/domov/ukliknuti-stalo-nemocnici-v-benesove-40-milionu-kyberutok-zacal-kliknutim-na-prilohu.A200115_201359_ln_domov_vlh
  3. https://www.virustotal.com/
  4. https://news.thewindowsclub.com/locky-ransomware-spreading-on- -facebook-messenger-87342/
  5. https://www.fixyourbrowser.com/removal-instructions/ransomware- -detected-popup/
  6. https://www.knowbe4.com/ransomware
  7. https://comsource.cz/novy-ransomware-zvany-zeppelin-utoci-na-it-a-zdravotnicke-organizace/
  8. https://www.wsj.com/articles/its-official-north-korea-is-behind-wannacry-1513642537
  9. https://www.msspalert.com/cybersecurity-breaches-and-attacks/ransomware/big-msp-sodinokibi-attack/
  10. https://www.cisomag.com/miami-beach-police-department-suffers-ransomware-attack/
  11. https://www.seznamzpravy.cz/clanek/garmin-zaplatil-vypalne-10-milionu-dolaru-hackeri-mu-zasifrovali-data-114720
  12. https://benesovsky.denik.cz/zpravy_region/napadeni-pocitacove-site-virem-prislo-nemocnici-na-40-milionu-zatim-20200113.html
  13. https://www.microsoft.com/en-us/itshowcase/protecting-high-risk-environments-with-secure-admin-workstations
  14. https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material
Vytisknout