Криптовируси

  • Maze Ransomware – криптира и изнудва: Коварен враг, от когото ще ви помогнем да се предпазите

    Последен ъпдейт на 18 декември 2020 в 08:08 ч.

    През 2020 семейството на криптовируса Maze придоби печална известност, застрашавайки бизнеса на десетки организации. Сред жертвите на зловредния софтуер са LG, Xerox, Southwire и град Пенсакола.

    Целта ни е да ви запознаем по-подробно с този опасен и многолик криптовирус, за да можете да изградите по-добре вашата защита.

    В никакъв случай не подценявайте криптоатаките. Освен че могат да ви откраднат ценна информация, могат да ви изнудват за пари и чрез публикуването й или продажбата й на конкуренти. И в двата случая може да се стигне до загуба на репутация, влошаване на бизнес отношения, огромни финансови загуби, а и глоба по GDPR.

    Млад, но амбициозен ransomware

    За Maze чухме едва през първата половина на 2019 г. По това време той дори нямаше ясно изразена следа (ransomware note). Наречен е от изследователите „ChaCha ransomware“, защото съдържа в заглавието си „0010 System Failure 0010“.

    Една от първите бележки за откуп (Ransom note) на Maze/ChaCha
    Една от първите бележки за откуп (Ransom note) на Maze/ChaCha

    Много скоро новите версии започнаха да се наричат ​​Maze. Злонамерените лица зад криптовируса създадоха сайт, който да „подпомага“ техните жертви в плащането на откуп за декриптиране на файловете им.

    Уебсайтът, използван от скорошна версия на Maze
    Уебсайтът, използван от скорошна версия на Maze

    Разпространява се чрез спам / фишинг кампании

    Тактиката за разпространение на Maze първоначално включва заразяване чрез експлойт комплекти (Fallout EK и Spelevo EK) и спам със злонамерени прикачени файлове.

    Пример за фишинг имейл с прикачен зловреден файл
    Пример за фишинг имейл с прикачен зловреден файл

    Когато получателят отвори прикачения документ, той бива подканен да активира режима за редактиране (Enable Edit) и съдържанието (Enable Content). Ако потребителя се подлъже и избере тези опции, злонамереният макрос, съдържащ се в документа, се изпълнява и заразява компютъра на жертвата с Maze.

    Maze-ransomware-enable-content

    Персонализиран подход

    За кратко време Maze започна да прилага индивидуален подход при атаките на корпорации и държавни организации, за да е по-успешен и да увеличи печалбите си от изнудване.

    Някои атаки стартират с  таргетиран фишинг и завършват с инсталиране на Cobalt Strike RAT, докато в други случаи пробивът на мрежата е резултат от експлоатация на уязвима интернет услуга (напр. Citrix ADC / Netscaler или Pulse Secure VPN). Слабите пароли за достъп до RDP на машини, достъпни от интернет, са друг недостатък, който Maze използва.

    Рансъмуерът прилага различни тактики при ескалация на привилегии, разузнаване и компрометиране на други машини в мрежата (т.нар. Lateral Movement). Използва инструменти като mimikatz, procdump, Cobalt Strike, Advanced IP Scanner, Bloodhound, PowerSploit.

    По време на тези междинни етапи, злонамерените лица се опитват да локализират ценна информация, която може да се съхранява на сървърите и работните станции в компрометираната мрежа. След това те източват поверителните файлове на жертвата, за да ги използват за договаряне на откуп.

    На финала Maze се инсталира на всички машини, до които злонамерените лица имат достъп. Следва криптиране на ценните данни на жертвата, с което работата на криптовируса е свършена.

    Изтичане на информация / Изнудване

    Това, с което нашумя Maze е, че утвърди нова тенденция при криптовирусите. Те започнаха да заплашват да разкрият поверителните данни на жертвите си ако те откажат да платят откуп. Този подход се оказа много доходоносен за престъпниците и започна да се използва от редица престъпни групи, занимаващи се с криптовируси – REvil/Sodinokibi, DoppelPaymer, JSWorm/Nemty/Nefilim, RagnarLocker, Snatch .

    Авторите на Maze поддържат и уебсайт, където изброяват последните си жертви и публикуват частично или изцяло (в случай на отказ да се плати откуп) извлечената информация.

    Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze
    Уебсайт с изтекли данни на жертвите, публикувани от злонамерените лица зад Maze

    „Картел за изнудване“

    През юни 2020 г. Maze се обедини с LockBit и RagnarLocker и образува „картел за изнудване“.  Данните, откраднати от тези групи се публикуват в блога, поддържан от злонамерените лица зад Maze.

    Изглежда, че престъпниците споделят помежду си не само хостинг на ексфилтрирани документи, но и опита си от компрометиране на различни инфраструктури. За това говори фактът, че Maze започна да използва техники, които преди това се използваха само от RagnarLocker.

    Кратък технически преглед на Maze

    Криптовирусът Maze обикновено се разпространява като обфускиран PE файл (EXE или DLL), написан на C/ C++. Той използва най-различни похвати, за да избегне статичен и динамичен анализ. Например, динамично импортване на API функции е само един от похватите за избягване на статичен анализ, а за да избегне динамичния – Maze убива процеси, които често се използват от специалистите по информационна сигурност – procmon, procexp, ida, x32dbg и др.

    Криптографската схема на Maze се състои от няколко нива:

    1. За да шифрова съдържанието на файловете на жертвата, троянският кон генерира уникални ключове и nonce стойности, които да се използват с поточния шифър ChaCha
    2. Ключовете ChaCha и стойностите nonce са криптирани от публичен RSA-2048-битов ключ, който се генерира при стартиране на зловредния софтуер
    3. Частният RSA-2048-битов ключ на сесията е криптиран от публичния RSA-2048, който се кодира в тялото на троянския кон

    Схемата е вариация на типичен подход, използван от разработчиците на съвременен рансъмуер. Тя позволява на операторите да пазят своя частен RSA ключ в тайна, когато продават декриптори за всяка отделна жертва, а също така гарантира, че декриптор, закупен от една жертва, няма да помогне на друга.

    Когато бъде изпълнен на една машина, рансъмуерът Maze ще иска да определи какъв компютър е заразил. Той се опитва да прави разлика между различни видове системи – сървър за съхранение на резервни копия (backup server), домейн контролер (domain controller), сървър без централизирано управление/AD (standalone server) и др. Използвайки тази информация в бележката за откуп, троянецът има за цел допълнително да изплаши жертвите и да ги накара да си мислят, че престъпниците знаят всичко за засегнатата мрежа.

    Стрингове, които Maze използва, за да генерира ransomware note
    Стрингове, които Maze използва, за да генерира ransomware note

     

    Фрагмент от процедурата, която генерира бележка за откуп
    Фрагмент от процедурата, която генерира бележка за откуп

    Как да се предпазим от заразяване с Maze (или други криптовируси)?

    Рансъмуерът се развива всеки ден и атаките стават по-мащабни и разрушителни. Това означава, че вашата защита трябва да бъде подготвена да издържи на всеки един етап от атаката.

    Няма един единствен метод, чрез който да се предпазите, а трябва да следвате добрите практики в информационната сигурност, част от които са :

  • Хакнат Facebook акаунт е използван за изнудване на жертва на рансъмуерa Ragnar Locker

    В началото на ноември 2020 г. стана известно, че рансъмуерът Ragnar Locker е хакнал италианската компания за алкохолни напитки Campari Group. Производителят на Aperol, Campari, Cincano и много други съобщи, че не е напълно изключено да са откраднати някои лични и бизнес данни.

    Престъпната група зад Ragnar Locker отговори на изявлението, като пусна във Facebook рекламна кампания, гласяща: „Това е нелепо и изглежда като голяма дебела лъжа“. Хакерите разкриват, че откраднатото от Campari Group е всъщност 2 TB чувствителни данни, а поисканият откуп е 15 млн. USD в биткойн.

    Самата кампания е проведена през компрометиран Facebook акаунт. Достигнала е до над 7 хил. потребители на Facebook и е генерирала 770 кликания. Титулярът на хакнатия акаунт е споделил, че единствено за него не е приложил многофакторна автентикация (MFA).

    Случилото се показва, че някои групи криптовируси са станали особено агресивни в последно време, притискайки жертвите си да платят.

    От Facebook разследват дали става дума за изолиран инцидент или измамниците провеждат кампании и през други хакнати акаунти в социалната мрежа.

    Препоръка:

    За да предпазите собствените си лични данни, използвайте многофакторна автентикация навсякъде, където това е възможно.

  • Хакери използват Google Drive за заразяване на болници с ransomware

    Злонамерени линкове към документи в Google Drive са били изпратени по имейл до множество американски здравни заведения във фишинг кампания. Кликането върху връзките е станало причина за заразяване на получателите с Ryuk ransomware. Атаката е затруднила засегнатите центрове да предоставят адекватни здравни грижи на пациентите си.

    Sophos сигнализира, че Ryuk използва заразени документи на Google Drive, за да достави първоначалния си зловреден софтуер. Хакерите разчитат, че винаги ще се намери служител, който да кликне върху злонамерения линк и да активира кибератаката.Анализаторите отчитат, че Ryuk е отговорен за една трета от всички атаки с рансъмуер от началото на 2020 г.

    В края на октомври 2020 г. Microsoft, ФБР, Министерството на здравеопазването и социалните услуги и Министерството на вътрешната сигурност на САЩ съвместно издадоха поредното предупреждение за случващото се. Те сигнализираха, че ransomware е все по-агресивен към болници и други здравни организации.

  • Медицински център в Охайо спря работа след поредния киберинцидент в здравния сектор

    Инцидент с киберсигурността спря работата на медицински център в Охайо за няколко дни и принуди клиниката да отложи планираните процедури на пациенти.

    От Ashtabula County Medical Center (болнично заведение с над 200 легла) не посочват естеството на инцидента, но се предполага, че става дума за ransomware атака.

    Нарастващата зависимост на здравните заведения от информационните технологии, заедно с напрежението върху ресурсите, дължащо се на пандемията на коронавируса, направиха сектора уязвим от хакерски атаки. По-рано този месец пациент в Германия е починал след като е бил отпратен от болница, пострадала от поредната криптоатака.

    От началото на 2020 г. международни организации периодично предупреждават за увеличаване на броя на ransomware-атаки (тук и тук) срещу болнични заведения. За съжаление, също толкова често научаваме и за поредната жертва (тук и тук).

  • Хакерската група REvil депозира 1 млн. USD за набиране на хакери

    Спомняте ли си „бизнес-ориентирания“ модел на ransomware-групата REvil (Sodinokibi), чието развитие следим отдавна? Наскоро „семейството“ е депозирало 1 млн. USD (всъщност, равностойността им в биткойни) в  рускоезичен хакерски форум, за да демонстрира пред потенциални сътрудници, които иска да набере, че има сериозни намерения за развитието си.

    Както във всяка бизнес сфера, изглежда, че и разработката на криптовируси също следва икономическата логика и разделение на труда: едни хора (разработчици) отговарят за създаването на ransomware, а други (сътрудници) – хакват организациите и криптират устройствата им. При това се твърди, че последните получават до 80% от акумулираните откупи за декриптиране.

    Публично депозираната от REvil сума илюстрира колко пари генерират създателите на ransomware. За съжаление, докато жертвите не престанат да плащат многомилионни откупи, този вид киберпрестъпления ще продължат и участниците в  тях ще стават все по-богати.

  • Четирите най-големи корабни компании в света са засегнати от кибератаки

    Последен ъпдейт на 2 октомври 2020 в 11:23 ч.

    Четирите най-големи морски корабоплавателни компании в света (CMA CGM, APM-Maersk, Средиземноморска корабоплавателна компания и COSCO) са били засегнати от атака с криптовируси в периода от 2017 г. насам.

    Това е първият случай досега, в който Голямата четворка в даден сектор на индустрията претърпява последователно големи кибератаки. Въпреки че инцидентите са различни, те показват преференциално насочване към морската индустрия. През последните 4 години жертви са ставали кораби, базираните на брега системи на корабните компании и  най-често – приложенията за резервация на контейнери.

    Свидетели сме на вълна от криптоатаки срещу корпоративни гиганти, опериращи в различни сфери на бизнеса и логично си задаваме въпроса: Дали „кибер-пиратите“ не са се насочили към криптирането на цяла индустрия, така че да повишат многократно шансовете си за получаване на откуп?

  • Собственикът на Ray-Ban е поредната корпоративна жертва на криптовирус (ransomware)

    Собственикът на Ray-Ban – компанията Luxottica, най-веротяно е станал жертва на атака с криптовирус, която е засегнала италианското и китайското поделение на корпорацията.

    Самата компания все още не е коментирала проблема, но според BleepingComputer, клиенти са съобщили  за спиране на уебсайтовете на Ray-Ban, Sunglass Hut, LensCrafters, EyeMed и Pearle Vision.

    Засега няма данни за откраднати или изтекли данни, а към 24-ти септември всички засегнати сайтове изглежда са възобновили работа, без следи от инцидента.

    Luxottica е поредната мултинационална компания в списъка с жертви на криптоатаки, след Garmin, Enel, Honda и др., за които съобщаваме през изминалите няколко месеца.

  • 457 хил. USD: цената данните ви да останат конфиденциални (евентуално) след кражбата им

    457 хил. USD. Толкова е откупът, платен от Университетът на Юта (САЩ), за да остане (евентуално) конфиденциална източена от образователната институция информация.

    Кражбата на данните е станала след зараза с модерното вече поколение криптовируси, които първи източват информацията от заразените устройства, след което я криптират. Така хакерите искат два откупа – един за декриптирането и един за непубликуването на откраднатите данни.

    Сериозната сума е била платена за сметка на действаща киберзастраховката. Засегнатите лица са предупредени да следят своята кредитна история за измамна дейност и да променят всички пароли, които използват онлайн.

  • REvil ъпдейтна бизнесмодела си: вече предлага крадена информация на търг

    Неведнъж сме разказвали на групата REvil / Sodinokibi – едни от добилите популярност в началото на 2020 г. криптовируси, които източват данните на жертвите си преди да ги криптират. 

    Всяко ново появяване на това ransomware семейство е запомнящо се, защото добавя нов щрих към измамата: 

    • Първоначално групата стана известна с това, че подсигурява печалбата си от две страни – или плащате за декриптиране на данните си или за да не попаднат те в ръцете на конкуренцията. При всички случаи REvil печели. 
    • По-късно през годината „семейството“се сдоби със собствена платформа. На нея, под формата на каталог, се публикува откраднатата информация от жертвите, които не са платили откупите си. Така пазарният дял е гарантиран. 
    • В началото на юни 2020 г. REvil добави черешката на тортата – функция за анонимно наддаване за откраднатата информация. А първите аукциони са вече факт. 

    Сред жертвите, чиито данни са били продадени на търг, са дистрибутор на храни, адвокатска кантора и дружество за интелектуална собственост, всички в САЩ.  

    Спечелилите наддаването плащат, разбира се, с криптовалутаПри това, изглежда, че страните се ползват с взаимно доверие, тъй като не би било възможно да се поиска възстановяване на сумата в случай на недоставяне на заплатената информация. 

    Продължаване да следим развитието на REvil и ни се иска този бизнес нюх да бъде вложен в положителна кауза. 

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Как RIPlace елиминира конвенционалните защити от криптовируси

    Нова техника за разпространение на криптовируси елиминира защитата на повечето съвременни антивирусни решения само с няколко реда код. Става въпрос за RIPlace, която е поредното нововъведение в ransomware.

    Техниката е разкрита от изследователите по киберсигурност Daniel Prizmant, Guy Meoded, Freddy Ouzan и Hanan Natan от Nyotron още в през 2018 г. След като уведомили всички засегнати разработчици на приложения, операционни системи и антивирусен софтуер, включително и Microsoft, обаче, анализаторите получили лаконичен отговор. Нещо от сорта на: щом дотогава никой криптовирус не е използвал тази техника, уязвимостта се класифицира като „незначима“.

    Наскоро обаче дебютира Thanos – първият криптовирус, който използва RIPlace.

    В кореспонденция между Nyotron и BleepingComputer, Nyotron  са тествали RIPlace срещу голям брой разработчици на антивирусен софтуер, включително Microsoft, Symantec, Sophos, McAfee, Carbon Black, Kaspersky, Crowdstrike, PANW Traps, Trend Micro, Cylance, SentinelOne, и Malwarebytes. Единствено Kaspersky и Carbon Black са направили нужните промени в техния антивирусен софтуер, за да елиминират изпълнението на тази техника.

    Преодоляване на ransomware защитата от RIPlace

    Според Nyotron, криптовирусите използват 3 различни техники, за да криптират информацията на жертвата и по този начин да подменят легитимната информация с криптирана такава. Обикновено, най-често използвани са методи #1 и #2:

    1. Записване на криптираните данни от паметта в оригиналния файл.
    2. Записване на криптираните данни от паметта в нов файл и след това изтриване на стария (легитимния) файл.
    3. Записване на криптираните данни от паметта в нов файл и след това с помощта на т.нар. “Rename call” се заменя оригиналния файл.

    За да бъде успешно предотвратена една атака от ransomware, всичките три опции трябва да бъдат защитени от филтриращият драйвер на антивирусния софтуер.

    От Nyotron откриха, че изпълнението на вариант 3 за подмяна на файлове и извършването му по специален начин, позволява да се заобиколи защитната функция, както е показано по-долу:

    Различни методи за запазване на криптираните файлове

     

    RIPlace работи, използвайки функцията „DefineDosDevice“, за да създаде DOS устройство, като например \\.\RIPlace, което след това сочи (links) към криптирания файл. Впоследствие DOS устройството се подава като целеви път за Rename функцията. Тъй като име на DOS устройство не се очаква, това води до връщане на грешка за това изпълнение. Така драйверът MiniFilter (който е част модула за защита от ransomware) вижда грешка и не блокира нищо, но въпреки това Rename преминава успешно.

    В крайна сметка, от гледна точка на разработчиците на криптовируси, са необходими промени на няколко реда код, за да се заобиколят наличните защитни модули.

    Въпреки че промените са доста прости, може да са нужни малко повече усилия в сравнение с използването на нормалните методи, но това ще трябва да бъде допълнително тествано, за да се знае със сигурност.

    RIPlace срещу Controlled Folder Access в Windows 10

    Controlled Folder Access (CFA) осигурява защита на ценна информация от злонамерени приложения и заплахи, като например криптовируси. Всички приложения (всеки изпълним файл, включително .exe, .scr, .dll, word файлове и други) се оценяват от Microsoft Defender Antivirus, който след това определя дали приложението е злонамерено или безопасно. Ако приложението е класифицирано като злонамерено или подозрително, няма да бъде позволено то да прави промени по който и да е файл, намиращ се в защитена папка, дефинирана в CFA.

    От Nyotron създадоха видео, в което се демонстрира заобикалянето на CFA използвайки RIPlace. За повече информация може да посетите сайта на Nyotron, където има създадена специална страница за RIPlace.

    BleepingCmputer, използвайки RIPlace, също заобиколиха CFA, като за доказателство (Proof-of-concept) са публикували подробни снимки на атаката.

    От кореспонденцията между BleepingCmputer и Microsoft става ясно, че тази техника не се смята за уязвимост от технологичния гигант: „CFA се базира на многослойна защита (defence-in-depth) и за да бъде успешна тази атака са необходими привилегировани права на конкретната машина. Следователно тази техника не отговаря на нашите критерии за обслужване на сигурността.“

    Как да се защитите

    И докато според Microsoft възможността, някой да компрометира вашата машина и да ескалира своите привилегии, не е често (и лесно) действие, за съжаление в реалния свят нещата стоят по коренно различен начин. Един от най-често използваните похвати на злонамерените лица, след като си осигурят достъп до инфраструктурата, е именно да повишат своите привилегии, а в някои случаи дори не е нужно да го правят. Защо ли? Защото например не се използва концепцията за Least privilege и съответно на компрометираната машина всички потребители са с admin права.

    Антивирусният софтуер сам по себе си не може и не бива да бъде приеман като all-in-one решение, а по скоро като една част от него. Другите „части“ на това решение са: следване на добри практики в сферата на информационната сигурност, в това число използване на защитна стена на изхода на мрежата, ограничаване на публично достъпните услуги (уязвими протоколи като RDP и SMB не бива да бъдат публично достъпни!), сегментиране на мрежата, правилно разпределяне на правилата на потребителите и др.

Back to top button