Криптовируси

Ransomware атаките са все по-голяма заплаха за бизнесите, а хакерите постоянно усъвършенстват тактиките си. В същото време те могат да причинят значителни финансови и репутационни щети. 

Затова разбирането на ранните предупредителни индикатори за предстояща ransomware атака и проактивното отстраняване на уязвимите точки в сигурността са изключително важни за организациите. 

Предупредителните индикатори са:  

• фишинг имейли от домейна на фирмата, които са доказателство за успешно превземане на акаунт;
• подозрителни опити за влизане в системата;
• тестови атаки;
• опити за деактивиране на активна директория и контролери на домейни. 

Списъкът с често срещани критични грешки, отварящи пътя за ransomware атаки, включва: 

• слаби пароли и липса на многофакторна автентикация; 
• лошо управление на връзките с протокола за дистанционен достъп до устройствата Remote Desktop Protocol (RDP); 
• неактуализирани софтуери и системи с незатворени уязвимости; 
• недостатъчно обучение и информираност на служителите;
• липса на план за реакция при инциденти. 

За да намалите до минимум възможността да станете жертва на ransomware, или ако все пак това се случи, важната за вас информация да бъде достъпна, без да се налага да плащате откуп, нашите съвети са: 

• редовно актуализирайте системите и софтуера си; 
• въведете надежден контрол на достъпа чрез многофакторно удостоверяване; 
• разделете мрежата си на сегменти и следете непрекъснато за необичайни дейности;  
• редовно архивирайте критичните си данни в резервни копия; 
• грижете се вашите екипи да бъдат осведомени относно най-новите тактики за фишинг и социално инженерство.   

Рансъмуер експлоатира наскоро разкрита ProxyShell уязвимост на Microsoft Exchange сървъри с цел хакване на корпоративни мрежи.

Това е установила компанията за киберсигурност Sophos, докато е разследвала инцидент при свой клиент, от когото е поискан откуп.

Степента на заплахата е класифицирана като „висока“. Престъпниците сканират постоянно интернет за жертви. След като ви набележат, могат да получат достъп почти незабавно и до часове да заразят мрежата ви. Следващата стъпка е получаване на администраторски достъп до домейна и изпълнение на злонамерени команди.

Препоръки:

• Актуализирайте възможно най-скоро локалния си Exchange Server; ако използвате стара версия, приоритетно мигрирайте към актуална и инсталитайте пачовете.
• Приложите защита от злонамерен софтуер за своите сървъри – престъпниците преследват точно тях, защото знаят, че те не са толкова защитени, колкото крайните точки.
• Проследявайте, документирайте и актуализирайт редовно администраторските права за достъп до сървърите ви.

Най-голямата компания за преработка на месо в света е била обект на сложна кибератака.

Хак на компютърните мрежи в JBS временно е спрял работата на няколко поделения на компанията в Австралия, Канада и САЩ и е засегнал хиляди работници.

Става дума за рансъмуер атака и поискан откуп. Компанията е разбрала за пробива на 31.05.2021 и веднага е спряла всички засегнати ИТ системи – смята, че резервните сървъри не са били хакнати.

ИТ системите са от съществено значение за съвременните месопреработвателни предприятия, като компютрите се използват на няколко етапа, включително фактуриране и доставка.

JBS е най-големият доставчик на месо в света с повече от 150 завода в 15 страни и 150 хил. служители. Сред клиентите на компанията са множество супермаркети и заведенията за бързо хранене McDonald’s. В САЩ JBS преработва почти 25% от говеждото месо в страната и 20% от свинското месо.

Атаката може да доведе до недостиг на месо или повишаване на цените за потребителите.

Миналият месец доставката на гориво в югоизточната част на САЩ спря за няколко дни, след като рансъмуер атака порази най-големия американски петролопровод.  Colonial Pipeline потвърди, че е платил 4,4 млн. USD откуп на киберпрестъпниците, които разследващите свързват с Русия.

Екипът на Sophos за бързо реагиране (Sophos Rapid Response team) е съставил списък с най-често срещаните погрешни възприятия за киберсигурността. Става дума за грешки на мениджърите / администраторите, с които специалистите от екипа са се сблъскали през последните 12 месеца, докато са неутрализирали и разследвали кибератаки в широк кръг организации.

Десетте най-разпространени заблуди по отношение на киберсигурността, които Sophos опровергава са:

Заблуда 1: Ние не сме цел – твърде малки сме и / или нямаме ценни активи

Контрапункт: Повечето киберпрестъпници търсят лесна плячка и бърза финансова облага – те преследват пропуски в сигурността и погрешни конфигурации, които могат лесно да използват. Ако смятате, че вашата организация не е цел, вероятно не проверявате редовно мрежата си за подозрителна активност и може да пропуснете ранни признаци на кибератака.

Заблуда 2: Нямаме нужда от усъвършенствани технологии за сигурност, инсталирани навсякъде

Контрапункт: Ежедневно се увеличават техниките за атака, които заобикалят или деактивират софтуера за защита на крайните точки. Сървърите вече са цел номер едно за атака и нападателите могат лесно да намерят директен маршрут, използвайки откраднати идентификационни данни за достъп. Всички грешки в конфигурането, пачването или защитата правят сървърите уязвими, включително тези под Linux. Дори нападателите често инсталират задна врата (backdoor) на Linux машини, за да ги използват после като безопасни укрития за достъп до мрежата ви.

Заблуда 3: Имаме непоклатими политики за сигурност

Контрапункт: Да, наличието на политики за сигурност на приложенията и потребителите е много важно. Те обаче трябва да се проверяват и актуализират постоянно, тъй като към устройствата, свързани в мрежата, се добавят непрекъснато нови функции и функционалности.

Заблуда 4: Можем да защитим RDP сървърите от нападатели чрез промяна на портовете, на които се намират, и въвеждане на многофакторно удостоверяване (MFA)

Контрапункт: Сканирането на портове от страна на нападателите ще идентифицира всички отворени услуги, независимо къде точно се намират, така че смяната на портове, само по себе си, предлага малка или никаква защита.

Колкото до въвеждането на MFA, то е важно, но няма да подобри сигурността, ако политиката не бъде приложена за всички служители и устройства.

Заблуда 5: Блокирането на IP адреси от високорискови региони като Русия, Китай и Северна Корея ни предпазва от атаки, идващи от тези географски локации

Контрапункт: Блокирането на IP адреси от определени региони е малко вероятно да навреди, но може да създаде фалшиво усещане за сигурност, ако разчитате само на него за защита. Нападателите хостват своята злонамерена инфраструктура в различни държави, включително САЩ, Холандия и останалата част на Европа.

Заблуда 6: Нашите архиви ни осигуряват имунитет срещу въздействието на рансъмуера

Контрапункт: Поддържането на актуални архиви е от решаващо значение за бизнеса. Ако обаче те са свързани към мрежата, остават в обсега на нападателите и са уязвими на криптиране, изтриване или деактивиране при рансъмуер атака.

Ограничаването на броя на хората с достъп до вашите архиви може да не подобри значително сигурността, тъй като нападателите ще са прекарали време във вашата мрежа, търсейки точно тези хора и техните идентификационни данни за достъп.

По същия начин и съхраняването на резервни копия в облака трябва да се извършва внимателно – при инцидент, разследван от Sophos Rapid Response, е разкрито, че нападателите са изпратили имейл до доставчика на облачни услуги от хакнат акаунт на ИТ администратор и са го помолили да изтрие всички архиви – доставчикът е удовлетвотил молбата!

Стандартната формула за сигурни архиви, които могат да се използват за възстановяване на данни и системи след атака с рансъмуер, е 3:2:1: три копия на всичко, на две различни системи, едната от които е офлайн.

Последна забележка: офлайн резервни копия няма да ви защитят от престъпници, които крадат и заплашват да публикуват вашите данни, дори и да не ги криптират.

Заблуда 7: Нашите служители разбират киберсигурността

Контрапункт: Според The State of Ransomware 2021, 22% от организациите вярват, че ще бъдат засегнати от рансъмуер през следващите 12 месеца, защото е трудно да се спрат крайните потребители да компрометират сигурността.

Тактиките за социално инженерство като фишинг имейли стават все по-трудни за откриване. Съобщенията често са ръчно изработени, точно написани, убедителни и внимателно насочени.

Заблуда 8: Екипите за реагиране при инциденти могат да възстановят данните ми след рансъмуер атака

Контрапункт: Това е много малко вероятно. Днес атакуващите правят много по-малко грешки и процесът на криптиране се е подобрил, така че намирането на вратичка, която може да премахне щетите, се случва изключително рядко.

Заблуда 9: Ако платя откуп ще си получа обратно данните, откраднати при рансъмуер атака

Контрапункт: Според доклада State of Ransomware 2021, организация, която плати откуп, възстановява средно около две трети (65%) от своите данни. Само 8% получават обратно всичките си данни, а 29% възстановяват по-малко от половината.

Освен това връщането на данните е само част от процеса по възстановяване – в повечето случаи рансъмуерът напълно деактивира компютрите и софтуера и системите трябва да бъдат вдигнати от нулата, преди да се стигне до възстановяване на данните. Проучването през 2021 г. показва, че разходите за съвземане на бизнеса са средно десет пъти по-големи от търсения на откуп.

Заблуда 10: Криптирането изчерпва атаката – ако оцелеем, всичко е наред

За съжаление това рядко е така. Чрез криптирането нападателите ви дават да разберете, че са там и какво са направили.

Вероятно те са престояли във вашата мрежа в продължение на дни, ако не и седмици преди пускане на рансъмуера. Те са проучвали, деактивирали или изтривали резервни копия, открили са машини с ценна информация или приложения, които да криптират, премахнали са информация и са инсталирали задни врати… Продължителното присъствие в мрежата на жертвата позволява на нападателите да предприемат втора атака, ако пожелаят.

Как да се справите с организирането на киберсигурността във вашата фирма, прочетете тук:

• Киберсигурност на фирмата: откъде да започнете?
• Десет грешки при защитата на данните, които фирмите не трябва да допускат

Последен ъпдейт на 19 май 2021 в 08:31 ч.

Порталът за ваксини срещу Covid-19 в Ирландия е затворил принудително за един ден на 14 май, след атака с криптовирус,  описана като най-значимата в историята на държавата.

Нападателите са поискали откуп, който обаче няма да бъде платен, в съответствие с държавната политика.

Незабавно са изключени всички компютърни системи, като предпазна мярка за защита на мрежите на организацията от по-нататъшни атаки.

Това е втората кибератака срещу ирландската здравна система за кратко време, която налага изключването на ИТ системи.

Още в началото на пандемията ИНТЕРПОЛ предупреди, че се очаква ръст на кибератаките, насочени към здравни заведения и организации.

Доставките на газ и дизел за Източното крайбрежие на САЩ са под въпрос, след като рансъмуер атака e спряла работата на най-големия петролопровод в страната.

The operator of the biggest gasoline pipeline in the U.S. shut down operations on Friday following a ransomware attack.@hmsjeffbair explains how the attack could impact fuel prices at the pump https://t.co/0A7S2yrgfF pic.twitter.com/IopjZBnzLd

— Bloomberg Quicktake (@Quicktake) May 8, 2021

Операторът на съоръжението, Colonial Pipeline, е изключил проактивно определени ИТ системи, за да ограничи заплахата. Поделението за реагиране при инциденти на компанията за киберсигурност FireEye Inc. помага на разследването.

Colonial Pipeline е ключова артерия за източната половина на САЩ. Той е основният доставчик на бензин, дизелово и реактивно гориво за Източното крайбрежие с капацитет от около 2,5 млн. барела на ден в системата му от Хюстън до Северна Каролина и още 900 хил. барела дневно до Ню Йорк.

Рансъмуер атака спря дейността на водещия IoT (интернет на нещата) производител Sierra Wireless. Засегнати са ИТ системите на компанията и производствения процес. Към момента на публикуване на тази новина, уеб сайтът не е достъпен.

 

Компанията създава широк спектър от комуникационно оборудване – шлюзове, рутери, клетъчни модеми, модули и интелигентни решения за свързване за IoT устройства.

Не се разкрива как е стартирала атаката и дали са засегнати данни на клиенти.

След като стана известно, че хакери са използвали zero-day уязвимости, за да компрометират Microsoft Exchange сървъри, ежедневно научаваме за нови експлоатации.

Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.

Атаката се разпространява

Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry @MsftSecIntel

— Phillip Misner (@phillip_misner) March 12, 2021

До момента киберспециалистите са открили жертви на криптовируса в САЩ, Люксембург, Индонезия, Ирландия, Индия и Германия.

Детекторите на доставчиците на антивирусен софтуер са засекли множество разновидности на DearCry:

• Ransomware/Win.DoejoCrypt [AhnLab]
• Win32/Filecoder.DearCry.A [ESET]
• Trojan-Ransom.DearCry.B [GDATA]
• Ransom-DearCry [McAfee]
• Ransom:Win32/DoejoCrypt.A [Microsoft]
• DearCry [Rising]
• Ransom/W32.DearCry [TACHYON]
• Win32.DEARCRY [TrendMicro]
• Ransomware.Dearcry [Webroot]

Как DearCry криптира компютрите

Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: [highlight color=“gray“]C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb[/highlight]

Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:

[toggle title=““ state=“open“].TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS[/toggle]

Криптираните файлове получават допълнително разширение .CRYPT:

Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:

След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:

Пачнахте ли Microsoft Exchange сървърите си

Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.

Прочетете още: Над 61% от всички Microsoft Exchange Server не са пачнати срещу активно експлоатирана уязвимост

Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.

Препоръки

Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.

Не неглижирайте и възможността в инфраструктурата ви вече да „живее“ недоброжелател – разгледайте и приложете стъпките, които Microsoft препоръчва за смекчаване на последиците:

Microsoft has released a new, one-click mitigation tool, the Microsoft Exchange On-Premises Mitigation Tool, to help customers who do not have dedicated security or IT teams to apply security updates for Microsoft Exchange Server. Learn more: https://t.co/IfChAqpcEH pic.twitter.com/xD94M8Czg5

— Microsoft Security Intelligence (@MsftSecIntel) March 15, 2021

Последен ъпдейт на 18 декември 2020 в 08:08 ч.

През 2020 семейството на криптовируса Maze придоби печална известност, застрашавайки бизнеса на десетки организации. Сред жертвите на зловредния софтуер са LG, Xerox, Southwire и град Пенсакола.

Целта ни е да ви запознаем по-подробно с този опасен и многолик криптовирус, за да можете да изградите по-добре вашата защита.

В никакъв случай не подценявайте криптоатаките. Освен че могат да ви откраднат ценна информация, могат да ви изнудват за пари и чрез публикуването й или продажбата й на конкуренти. И в двата случая може да се стигне до загуба на репутация, влошаване на бизнес отношения, огромни финансови загуби, а и глоба по GDPR.

Млад, но амбициозен ransomware

За Maze чухме едва през първата половина на 2019 г. По това време той дори нямаше ясно изразена следа (ransomware note). Наречен е от изследователите „ChaCha ransomware“, защото съдържа в заглавието си „0010 System Failure 0010“.

Много скоро новите версии започнаха да се наричат ​​Maze. Злонамерените лица зад криптовируса създадоха сайт, който да „подпомага“ техните жертви в плащането на откуп за декриптиране на файловете им.

Разпространява се чрез спам / фишинг кампании

Тактиката за разпространение на Maze първоначално включва заразяване чрез експлойт комплекти (Fallout EK и Spelevo EK) и спам със злонамерени прикачени файлове.

Когато получателят отвори прикачения документ, той бива подканен да активира режима за редактиране (Enable Edit) и съдържанието (Enable Content). Ако потребителя се подлъже и избере тези опции, злонамереният макрос, съдържащ се в документа, се изпълнява и заразява компютъра на жертвата с Maze.

Персонализиран подход

За кратко време Maze започна да прилага индивидуален подход при атаките на корпорации и държавни организации, за да е по-успешен и да увеличи печалбите си от изнудване.

Някои атаки стартират с  таргетиран фишинг и завършват с инсталиране на Cobalt Strike RAT, докато в други случаи пробивът на мрежата е резултат от експлоатация на уязвима интернет услуга (напр. Citrix ADC / Netscaler или Pulse Secure VPN). Слабите пароли за достъп до RDP на машини, достъпни от интернет, са друг недостатък, който Maze използва.

Рансъмуерът прилага различни тактики при ескалация на привилегии, разузнаване и компрометиране на други машини в мрежата (т.нар. Lateral Movement). Използва инструменти като mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit.

По време на тези междинни етапи, злонамерените лица се опитват да локализират ценна информация, която може да се съхранява на сървърите и работните станции в компрометираната мрежа. След това те източват поверителните файлове на жертвата, за да ги използват за договаряне на откуп.

На финала Maze се инсталира на всички машини, до които злонамерените лица имат достъп. Следва криптиране на ценните данни на жертвата, с което работата на криптовируса е свършена.

Изтичане на информация / Изнудване

Това, с което нашумя Maze е, че утвърди нова тенденция при криптовирусите. Те започнаха да заплашват да разкрият поверителните данни на жертвите си ако те откажат да платят откуп. Този подход се оказа много доходоносен за престъпниците и започна да се използва от редица престъпни групи, занимаващи се с криптовируси – REvil/Sodinokibi, DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker, Snatch .

Авторите на Maze поддържат и уебсайт, където изброяват последните си жертви и публикуват частично или изцяло (в случай на отказ да се плати откуп) извлечената информация.

„Картел за изнудване“

През юни 2020 г. Maze се обедини с LockBit и RagnarLocker и образува „картел за изнудване“.  Данните, откраднати от тези групи се публикуват в блога, поддържан от злонамерените лица зад Maze.

Изглежда, че престъпниците споделят помежду си не само хостинг на ексфилтрирани документи, но и опита си от компрометиране на различни инфраструктури. За това говори фактът, че Maze започна да използва техники, които преди това се използваха само от RagnarLocker.

Кратък технически преглед на Maze

Криптовирусът Maze обикновено се разпространява като обфускиран PE файл (EXE или DLL), написан на C/ C++. Той използва най-различни похвати, за да избегне статичен и динамичен анализ. Например, динамично импортване на API функции е само един от похватите за избягване на статичен анализ, а за да избегне динамичния – Maze убива процеси, които често се използват от специалистите по информационна сигурност – procmon, procexp, ida, x32dbg и др.

Криптографската схема на Maze се състои от няколко нива:

1. За да шифрова съдържанието на файловете на жертвата, троянският кон генерира уникални ключове и nonce стойности, които да се използват с поточния шифър ChaCha
2. Ключовете ChaCha и стойностите nonce са криптирани от публичен RSA-2048-битов ключ, който се генерира при стартиране на зловредния софтуер
3. Частният RSA-2048-битов ключ на сесията е криптиран от публичния RSA-2048, който се кодира в тялото на троянския кон

Схемата е вариация на типичен подход, използван от разработчиците на съвременен рансъмуер. Тя позволява на операторите да пазят своя частен RSA ключ в тайна, когато продават декриптори за всяка отделна жертва, а също така гарантира, че декриптор, закупен от една жертва, няма да помогне на друга.

Когато бъде изпълнен на една машина, рансъмуерът Maze ще иска да определи какъв компютър е заразил. Той се опитва да прави разлика между различни видове системи – сървър за съхранение на резервни копия (backup server), домейн контролер (domain controller), сървър без централизирано управление/AD (standalone server) и др. Използвайки тази информация в бележката за откуп, троянецът има за цел допълнително да изплаши жертвите и да ги накара да си мислят, че престъпниците знаят всичко за засегнатата мрежа.

 

Как да се предпазим от заразяване с Maze (или други криптовируси)?

Рансъмуерът се развива всеки ден и атаките стават по-мащабни и разрушителни. Това означава, че вашата защита трябва да бъде подготвена да издържи на всеки един етап от атаката.

Няма един единствен метод, чрез който да се предпазите, а трябва да следвате добрите практики в информационната сигурност, част от които са :

• Дръжте всички приложения и ОС актуални с инсталиране на последните налични пачове
• Имплементирайте методи като: многопластова защита (defence in depth), ограничаване на правата на потребителите (Least privilege), Zero trust мрежови модел
• Намалете т.нар. “attack surface” като затворите/ограничите достъпа до услугите от вътрешната мрежа
• Услуги като RDP, SMB, FTP и т.н. нямат място в Интернет! Техния достъп трябва да бъде възможен само и единствено през VPN
• Използвайте единствено сигурна/криптирана връзка за комуникация към ресурси от вътрешната мрежа

В началото на ноември 2020 г. стана известно, че рансъмуерът Ragnar Locker е хакнал италианската компания за алкохолни напитки Campari Group. Производителят на Aperol, Campari, Cincano и много други съобщи, че не е напълно изключено да са откраднати някои лични и бизнес данни.

Престъпната група зад Ragnar Locker отговори на изявлението, като пусна във Facebook рекламна кампания, гласяща: „Това е нелепо и изглежда като голяма дебела лъжа“. Хакерите разкриват, че откраднатото от Campari Group е всъщност 2 TB чувствителни данни, а поисканият откуп е 15 млн. USD в биткойн.

Самата кампания е проведена през компрометиран Facebook акаунт. Достигнала е до над 7 хил. потребители на Facebook и е генерирала 770 кликания. Титулярът на хакнатия акаунт е споделил, че единствено за него не е приложил многофакторна автентикация (MFA).

Случилото се показва, че някои групи криптовируси са станали особено агресивни в последно време, притискайки жертвите си да платят.

От Facebook разследват дали става дума за изолиран инцидент или измамниците провеждат кампании и през други хакнати акаунти в социалната мрежа.

Препоръка:

За да предпазите собствените си лични данни, използвайте многофакторна автентикация навсякъде, където това е възможно.