Pro dvě velké ransomwarové rodiny, Maze a Hive, byly zveřejněny dešifrovací klíče a aktivity skupiny stojící za ransomwarem REvil byly snad již finálně ukončeny. Kromě výše uvedených pozitivních zpráv se podíváme také na novinky z oblasti funkcí známých malwarů a na útoky na naftové společnosti v Evropě a malware kampaň zaměřenou na Ukrajinu. Závěrem se zmíníme o vánoční noční můře spousty bezpečnostních manažerů – zranitelnosti Log4Shell.
Dešifrovací klíče zveřejněny
V minulém dílu tohoto seriálu jsme se zmínili, že došlo k úniku zdrojového kódu ransomwaru Babuk, díky čemuž bylo možné vyvinout dešifrovací nástroj. I dnešní číslo začneme na podobně pozitivní vlně, protože údajný autor ransomwarů Maze, Egregor a Sekhmet zveřejnil dešifrovací klíče pro rodiny těchto ransomwarů [1]. Všechny tři rodiny jsou si velmi podobné a jedná se o postupnou evoluci původního ransomwaru Maze. Skupina útočníků stojící za původním ransomwarem byla první, která přišla s tzv. double-extortion modelem vydírání, tedy po-žadovat výkupné ne za dešifrování dat, ale za jejich nezveřejnění [2]. S tím se nyní setkáváme velice často, ale právě skupina Maze byla první, která s těmito aktivitami přišla. Podobná situace potkala i skupinu stojící za ransomwarem Hive. V tomto případě se ale nejednalo o zveřejnění nebo únik dešifrovacích klíčů, ale o identifikování zranitelnosti v použitém mechanismu generování a ukládání master klíče [3]. Celá chyba spočívá v tom, že útočníci použili vlastní šifrovací algoritmus, který nebyl dostatečně bezpečný, namísto využití již ověřených algoritmů. Díky tomu se podařilo výzkumníkům odhalit právě tuto zranitelnost, která ve finále umožňuje obnovit většinovou část master klíče bez znalosti privátního klíče útočníků.
REvil zničen, snad už naposledy
Za poslední dobu byla skupina stojící za ransomwarem REvil několikrát na pokraji ukončení svých činností. Naposledy v průběhu loňského roku, kdy došlo k napadení jejich portá-lu na dark webu. Jenže se skupině podařilo portál i platební infrastrukturu obnovit, a mohli tak dál pokračovat ve svých aktivitách. Snad už poslední „ukončení“ ransomwaru REvil zajistily ruské úřady, které dle svého vyjádření podnikly tuto aktivitu „na žádost USA“ [4]. Jestli se však jedná o defini-tivní konec jedné velké ransomwarové skupiny, poznáme až časem. Ze zkušeností, které máme, je ale pravděpodobné, že si útočníci dají nějaký čas pauzu a objeví se znovu za pár měsíců pod jinou značkou.
Evoluce malwaru – maskování IP adres a podpora ESXi
Malwarové rodiny, které jsou stále aktivní, zlepšují své „produkty“ a přicházejí s novými funkcemi. Jednou z posledních novinek je používání neobvyklého formátu IP adres, na kterých má malware komunikovat [5]. Analýzou útoku způsobeného malwarem Emotet výzkumníci identifikovali používání hexadecimálního nebo oktetového formátu IP adresy. Tím lze obejít běžné ochranné mechanismy založené na detekci již známého řetězce.
Další změnu přinesla nová verze ransomwaru LockBit. V rámci jeho varianty pro linuxové operační systémy došlo k upravení jeho kódu tak, že nyní dokáže provádět VMware ESXi a vCenter příkazy [6]. Napadení ESXi serveru tak nyní může znamenat i zašifrování všech virtuálních systémů, které na něm běží.
Útoky na evropské naftové společnosti
Koncem ledna se cílem útoků staly významné naftové společnosti v evropském regionu – Oiltanking v Německu, SEA-Invest v Belgii a Evos v Nizozemsku [7]. Podle německých úřadů minimálně za útokem na Oiltanking stojí ransomwarová skupina BlackCat [8], která má v poslední době na svědomí také útok na společnost Swissport a údajné odcizení až 1,6 TB dat, za jejichž nezveřejnění žádá výkupné [9]. Na první pohled by se mohlo zdát, že útok na evropské naftové společnosti byl koordinovaný a předem plánovaný. Podle společnosti Emsisoft se může jednat o náhodu, kdy na seznamech e-mailových adres používaných pro hromadné rozesílání phishingu a škodlivého kódu jsou často společnosti ze stejného odvětví nebo společnosti geograficky blízké [7].
Problémy Ukrajiny nejen v kyberprostoru
V lednu společnost Microsoft identifikovala malware, který byl použit pro napadení různých společností na Ukrajině včetně vládních agentur nebo komerčních firem [10]. Celá malwarová kampaň byla Microsoftem pojmenována WhisperGate. Jednalo by se o jeden z dalších mnoha incidentů, se kterými se setkáváme dnes a denně. U tohoto ransomwaru je ale zajímavý způsob, jakým data „zašifroval“. Ve skutečnosti neprováděl šifrování souborů na úrovni souborového systému, ale jednoduše přepsal Master Boot Record (část disku, ve které se nacházejí informace o zavedení operačního systému do paměti RAM) bez možnosti jejího obnovení [11]. Požadavek na výkupné je v tomto případě nepodstatný, protože k datům již není možné se dostat.
Červený kříž není výjimkou
Bezpečnostní incident a odcizení dat klientů se v lednu týkalo také Červeného kříže. Útočníci kompromitovali osobní a citlivé údaje více než 515 tisíc lidí [12]. Samotný útok byl proveden na servery Červeného kříže hostované externí společností, která smluvně zajišťuje uložení dat.
Předvánoční dárek jménem Log4j
V roce 2020 dostali pod stromeček bezpečnostní manažeři kompromitaci platformy SolarWinds a s tím spojené problémy, nutnost investigace vlastních systémů, aktualizace softwaru apod. Platforma SolarWinds ale není v Česku až tak rozšířená a většina odborníků na bezpečnost si nakonec mohla užít pohodové svátky. Naopak tomu bylo ale v loňském roce, kdy začátkem prosince došlo ke zveřejnění RCE (Remote Code Execution) zranitelnosti v Java knihovně Log4j s hodnocením CVSS 10 z 10 [13]. Exploitace této kritické zranitelnosti umožňovala útočníkovi spustit vlastní kód na zranitelném systému.
Vrásky na čele všech správců a bezpečnostních manažerů způsobila tato hrozba především kvůli rozšíření Log4j knihovny v běžně používaném softwaru. Velká část výrobců včetně VMware, Cisco, Apache, Red Hatu a dalších ji používá ve svých produktech. Bylo tak nutné se spolehnout na samotné výrobce, aby vydali aktualizovanou verzi svého produktu, kde dojde i k opatchování samotné zranitelnosti s označením CVE-2021-44228.
Zranitelnost byla během pár dnů aktivně zneužívána. I v České republice jsme se bohužel setkali s úspěšnými exploitacemi a průniky do interních sítí společností. Příkladem zneužití může být kampaň íránské skupiny TunnelVision, která se díky zranitelnosti Log4j a řetězci dalších zranitelností dokázala dostat do sítě oběti a distribuovat ransomware [14].
Po vydání aktualizované verze 2.15.0 se knihovna Log4j dostala do hledáčku výzkumníků, díky čemuž došlo k objevení několika dalších zranitelností v následných verzích. Aktuální verzí je 2.17.1, u které prozatím žádné další zranitelnosti objeveny nebyly [15].
S řešením rizik ohledně zranitelnosti Log4Shell, jak byla ná-sledně pojmenována, spousta společností narazila na problém s mitigací u aplikací třetích stran a nutností spolehnout se na dodavatele nebo výrobce. Někteří z výrobců měli s vydáním patche pro své produkty značné problémy. Jedním takovým příkladem je VMware a jeho produkty ESXi a vCenter, pro které byla aktualizovaná verze s opravenou zranitelností vydána až začátkem února [16, 17]. Nutno podotknout, že VMware poskytl dostatečný workaround pro mitigaci původní zranitelnosti během několika málo dnů od jejího zveřejnění.
David Pecl
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.