Ransomware

Втора значима нова тактика в разпространението и прикриването на криптовируси (ransomware) от началото на 2020 г. налагат създателите на RagnarLocker. Те използват Oracle VirtualBox със заредена виртуална машина Windows XP, за да скрият своето присъствие от наличния антивирусен софтуер.

С инсталирането на Oracle VirtualBox, авторите на зловредния код стартират виртуална машина на инфектираните компютри. Така криптовирусът се изпълнява в „защитена, контролирана среда“, която е извън обсега на антивирусния софтуер, работещ върху физическата (хост) машина .

Прочетете още: Нов вид криптовируси: крадат и изнудват

Този интересен подход бе забелязан и подробно описан от британската фирма за киберсигурност Sophos и показва креативността и големите усилия, на които са способни хакерските групи, за да останат незабелязани, докато инфектират своята жертва.

Какво е RagnarLocker?

Идеята зад прикриване на присъствието е от критично значение за RagnarLocker. Те не са просто типичната хакерска групировка, която криптира всеки и каквото им попадне. Те внимателно подбират своите жертви, като избягват крайни потребители и се целят единствено в корпоративни и държавни организации.

Според Sophos, основните техники за подбор на жертвите от страна на RagnarLocker са се състояли в компрометиране на отворен RDP порт на ниво работна станция и компрометиране на инструменти, използвани от MSP (Managed Service Providers). По този начин хакерите си осигуряват достъп до вътрешните мрежи и ресурси на засегнатата компания.

Веднъж придобила достъп до вътрешната мрежа, групировката пуска конкретна версия на своя криптовирус. Тя варира и е специфична за всяка една жертва. След заразата, RagnarLocker изискват огромна сума за декриптирането на информацията в размер на десетки или стотици хиляди американски долари.

Тъй като всяка една от тези внимателно планирани атаки представлява шанс за спечелване на огромна суми пари, RagnarLocker основно залагат на оставането им под прикритие в засегнатите мрежи. Това е и причината за създаването на този хитър „фокус“, чрез който да избегнат засичането от антивирусен софтуер.

Магията с виртуалната машина

Т.нар. „фокус“ всъщност е много прост, но, същевременно, хитър подход.

Вместо да стартират криптовируса директно на компютъра-жертва, от RagnarLocker свалят и инсталират Oracle VirtualBox, широкоразпространен софтуер за виртуализация.

Те конфигурират виртуалната машина, като ѝ задават пълен достъп до всички локални и споделени папки и локации и по този начин ѝ осигуряват права за манипулиране на файлове, които се съхраняват извън нейния локален диск.

Следващата стъпка се състои в стартиране на виртуалната машина, като за целта се стартира орязана версия на Windows XP SP3, наречена MicroXP v0.82.

Последната фаза на атаката е да се зареди криптовируса във виртуалната машина и да се изпълни. Тъй като кодът работи в самата виртуална машина, антивирусният софтуер няма да открие злонамерения процес.

От гледна точка на антивирусния софтуер, файловете намиращи се на локалната файлова система, както и тези на споделените папки, изведнъж ще бъдат подменени с техните криптирани версии, а всички модификации на тези файлове ще идват от легитимен процес – а именно програмата VirtualBox.

За повече информация препоръчваме да прочетете детайлния репорт на Sophos, който освен криптовируса RagnarLocker, разглежда и техниката с виртуалната машина.

Криптовирус стана причина за временно забавяне на работата на най-големия европейски частен болничен оператор и основен доставчик на диализни продукти и услуги Fresenius.

Атаката е засегнала едно от четирите подразделения на организацията – Fresenius Kabi (доставчик на медикаменти и медицински устройства). Компанията все още се бори с последиците от заразата, уведомила е разследващите органи и продължава да полага грижи за своите пациенти. Няма официална информация за използвания зловреден код и дали е поискан откуп.

Как е осъществена атаката

Според блога за информационна сигурност KrebsOnSecurity Fresenius е засегната от Snake Ransomware. Зловредният код е използван за атаки предимно срещу големи организации. Той взима за „заложници” ИТ системите и данните им в замяна на плащане на откуп под формата на криптовалути.

Атаката срещу Fresenius идва на фона на все по-целенасочени атаки срещу доставчици на здравни услуги на първа линия за реагиране на пандемията COVID-19, за която предупреди Интерпол през април.

През изминалата седмица предупреждения за зачестили ransomware-атаки, насочени към организации, работещи в областта на здравеопазването, оповестиха и Агенцията за кибер- и инфраструктурна сигурност на САЩ (CISA) и Националният център за киберсигурност на Великобритания.

В сигналите се споменава, че пандемията вероятно предизвика допълнителен интерес у киберпрестъпниците да събират информация, свързана с COVID-19, например разузнавателна информация за националната и международната политика в областта на здравеопазването или чувствителни данни за изследвания, свързани с COVID-19.

Организирано средство за изнудване

Доскоро подобни ransomware-атаки бяха смятани за единични нападения с цел получаване на откуп. Напоследък обаче те се превръщат в основна причина за изтичане на данните на редица организации, станали тяхна жертва. Според Лорънс Ейбрамс (Bleeping Computer) атаката срещу Fresenius вероятно е част от по-мащабна Snake Ransomware кампания, която набира голяма скорост през последната седмица.

Прочетете и: Екраните почерняваха един след друг… Или неразказната история на NotPetya

Базирана в Германия група Fresenius включва четири независими компании, работещи в различни критични сфери на здравеопазването, с близо 300 хил. души персонал в повече от 100 държави. Компанията предоставя продукти и услуги за диализа с близо 40 процента от пазарния дял в САЩ. Вече е известно, че COVID-19 причинява бъбречна недостатъчност при много пациенти, което води до недостиг на диализни машини и консумативи и до повишено търсене на услугите на Fresenius.

М ного сме говорили, чували и писали за криптовируси и за това как, в зависимост от обстоятелствата, престъпниците променят своята стратегия за да осребрят нещастието на своите жертви.

Въпреки разнообразието от криптовируси и техните възможности за адаптация, съществуват доказано добри практики, при чието прилагане вероятността за инцидент е близка до нула. Все още обаче, се оказва, че криптовирусите остават печелившо перо в портфолиото на киберкриминалния контингент.

Грешен подход на жертвите

Причината за този успех е проста. Жертвите обикновено действат на принципа „Това едва ли ще се случи на мен/нас!“. Тоест, игнорирали са опасността, като погрешно са преценили вероятността точно те да бъдат поредните „донори“ на bitcoin или друга криптовалута, в името на това да получат своята информация обратно и да я запазят конфиденциална. Не вземането на превантивни мерки трансформира въпроса от „Дали ще ни криптират?“ в „Кога ще ни криптират?“

В случай, че все пак се окажем жертви… колко би ни струвало да си върнем информацията и контрола върху ситуацията? Отговорът, измерен във време и парични средства, зависи от много фактори, както и от това дали ще платим откупа или ще предпочетем да започнем всичко отначало.

Пресни примери

Два пресни случая дават реална представа чрез цената, която са платили Travelex и  очарователният американски град Балтимор. Те са станали жертва на криптовируси и предприели различни стратегии за справяне със ситуацията.

В средата на април стана известно, че Travelex са платили близо 2.3 млн. USD откуп, след като в навечерието на 2020 г.  криптовирусът Sodinokibi превзема цялата им мрежа. След атаката 1 200 представителства на компанията в над 70 държави остават без ИТ инфраструктура, принуждавайки ги да минат към „ръчен режим“ на работа.

Заразата засяга и голяма част от уеб сайтовете и мобилното им приложение, което създава допълнителни проблеми с крайни клиенти и партньорски дружества като – Barclays, First Direct, HSBC, Sainsbury’s Bank, Tesco и Virgin Money.

След явно неуспешни опити да се справят сами, през целият месец януари Travelex вземат решение да платят откупа, искан от престъпниците. Въпреки че съществуват регулации като  GDPR и калифорнийската CCPA, не малка част от компаниите, станали жертви на подобни кибер атаки, предпочитат да запазят мълчание. С него те обикновено се надяват да останат встрани от медийното и публично внимание и да си спестят щетите, свързани със загуба на репутация. Тази стратегия често има обратен ефект.

Общински неволи

След вълната успешни криптовирусни атаки срещу американски градове и общини, довела до неколкократно плащане на откупи, градоначалниците на Балтимор решават, че няма да платят поискания 76 хил. USD (в bitcoin) откуп. Преди близо година киберпрестъпниците използват зловреден код, известен под името RobbinHood, за да атакуват сървъри, уеб сайтове и електронни услуги, свързани с живота в града.

Жителите и бизнесът на Балтимор са „осакатени“ – засегнати са плащания на данъци, комунални услуги и сделки с имоти. В крайна сметка, щетите и мерките взети за да не се повтори този неприятен епизод струват близо 18 млн. USD! В тази цифра са включени и пропуснати ползи за общината, киберзастраховка и инвестиции в областта на киберсигурността.

Изводът от тези два инцидента и други подобни е ясен – инфектирането с криптовирус не е приятно, нито пък евтино „хоби“. Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите.

Някои хора биха си извадили погрешни изводи, че сметката не излиза и е по–добре подкупът да бъде платен. Да, чисто финансово може и да е така, особено в някои редки случаи, когато бъдещето на компанията е под въпрос, плащането е неизбежно. Но златното правило е, че плащанията на ransomware откупи стимулират престъпниците и затварят порочният кръг. Професионалистите в областта на киберсигурността са на мнение, че плащането на откуп трябва да бъде криминализирано.

ИНТЕРПОЛ е поредната организация, която предупреди болниците за кибератаки, които могат да доведат до принудително спиране на дейността им в условията на пандемия.

Организацията наблюдава нарастване броя на опитите на киберпрестъпници да блокират критични болнични системи, дори в текущото глобално извънредно положение. Новината не е изненада, въпреки обещанието на различни хакерски организации, че няма да има атаки срещу здравни и медицински организации по време на пандемията.

Вълната предупреждения бе подета от Microsoft, която обяви, че е започнала да изпраща таргетирани сигнали до десетки болници за уязвими публични VPN устройства. Според компанията, тези устройства могат да бъдат използвани за разпространението на ransomware-атаки.

ИНТЕРПОЛ, от своя страна, чрез екипа си Cybercrime Threat Response (CTR), работи в тясна връзка с помощни органи и правоприлагащи организации от ЕС. Целта е смекчаване на последствията и защита от такива атаки, които, насочени към болници, дори могат директно да причинят смърт в днешната безпрецедентна ситуация.

ИНТЕРПОЛ препоръчва на болниците и лечебните заведения винаги да актуализират софтуера и хардуера си и да архивират данните си на офлайн устройства за съхранение, с цел блокиране на потенциалните атаки.

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Microsoft са започнали да предупреждават болници за потенциално уязвими VPN устройства, които са цел на хакерски организации, разпространяващи криптовирусите REvil (Sodinokibi), DoppelPaymer и криптовируса Ragnarok.

Заразата с ransomware може да доведе до принудително спиране на дейността на болниците. Действие, което предвид натовареността на лечебните заведения заради пандемията с COVID-19, може да се окаже критично и да доведе до загуба на човешки животи.

Споменатите криптовируси са известни и с „иновативния“ си начин на действие – преди да криптират, те източват вашата информация, за да могат да ви изнудват с публикуването й, споделянето й на конкуренти или излагането й на обществено място с цел да спечелят пари. DoppelPaymer и REvil (Sodinokibi) дори имат собствени платформи, на които публикуват данни, източени от жертвите си, отказали да платят откуп.

Повече за мерките, които препоръчват от компанията, прочетете тук.

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Масова инфекция с криптовируса Mailto затрудни работата на австралийската логистична компания Toll Group, част от Japan Post Holdings.

Атаката срещу организацията е осъществена през нощта в събота срещу неделя (2 февруари 2020). Тя е принудила компанията да спре няколко приложения, с които работят клиентите й. Официалната позиция е, че няма засегнати или изтекли лични данни на клиенти.  

Към момента дейността на организацията постепенно се завръща към нормалните си нива.

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.

Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.

За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty  заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.

Как работи измамата

Досега стандартните криптовируси действаха по добре позната система:

1. Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
2. В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
3. Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си.  Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.

Така действат Sodinokibi, Maze и Nemty. Ето едно примерно съобщение:

Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.

Вижте и: Криптовирус забави работата на 4 болници в Румъния

Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.

Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.

Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:

Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD. 

Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:

Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.

Цялата история на комуникацията между авторите на Maze, Allied Universal и bleepingcomputer.com прочетете тук.

Собствена мрежа за споделяне на информация

Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирус – Nemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:

Подобни планове имат и авторите на Maze.

Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.

Много повече от криптиране

Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.

Още по темата: Криптовирус принуждава две химически компании да купуват „стотици нови компютри“

След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.

Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:

• Договори
• Стратегии и планове
• Лични данни на клиенти и служители
• Дизайни и чертежи
• Ноу-хау
• Бази данни с клиенти
• Информация за продажби

А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкции – например, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.

Какво да направя в такава ситуация

Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.

Какви са последиците от един криптовирус? Вижте тук. 

Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.

Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.

„Беше слънчев следобед в Копенхаген. Приготвях софтуерен ъпгрейд за компютъра ми, когато се рестартира неочаквано. Докато се ядосвах на системните администратори, видях че три екрана около мен почерняват. После още, и още, и още. Екраните почерняваха един след друг, след което компютрите ни се оказваха необратимо криптирани.“

Историята е на Хенрик Йенсен (името е измислено), един от хилядите служители на логистичния гигант Maersk. Компанията е една от най-тежко засегнатите от криптовируса NotPetya, определен от сп. Wired за „най-опустошителната кибератака в историята на човечеството до момента.

Щетите от заразата, използваща уязвимостта EthernalBlue, достигат до 10 млрд. USD, а сред засегнатите компании са:

• 870 млн. USD, фармацевтичната Merck
• 400 млн. USD, логистичната FedEX (TNT Express в Европа)
• 384 млн. USD, френската строителна компания Saint-Gobain
• 300 млн. USD, логистичната Maersk
• 188 млн. USD, производителят на храни Mondelēz

Започнал като кибервоенно действие, криптовирусът е довел до принудителното спиране на десетки глобални бизнеси. Пълната история на Wired четете тук.

Успешна зараза с криптовируса BadRabbit 4 стана причина за забавен прием и изписване на пациенти и предписване на медикаменти в 4 румънски болници, съобщава romania-insider.com.

Според изданието, заразата най-вероятно е осъществена посредством успешна фишинг атака срещу здравните заведения в градовете Букурещ, Хуш, Дорохой и Карбунещ. Според специалистите пробивът не е бил сложен и е могъл да бъде овладян от обикновено антивирусно решение.  

Румънски медии цитират здравния министър Сорина Пинтея, според която атаката е овладяна, а пациентите нямат повод за притеснение. Министърът обаче добавя, че заразата е затруднила част от процедурите по приемане и изписване на пациенти, използване на отстъпки и др. Румънската здравноосигурителна каса (CNAS) не е засегната от атаката. 

Успешните кибер атаки срещу лечебни заведения не са прецедент в Румъния. През 2017 г., след успешна атака на данните на лечебно заведение, хакери са поискали 10 хил. EUR, за да възстановят информацията. 

Пристанището на Сан Диего е поредната организация, пострадала от рансъмуер атака. За нея беше съобщено най-напред на 25 септември, но последствията от нея все още не са напълно ясни. Известно е, че атаката не е спряла напълно работата на пристанището. Засегнати са някои от информационните системи, свързани с администрацията му.

„Тъй като някои от информационните системи на пристанището са компрометирани, служителите изключиха и други системи като превантивна мярка… Можем да потвърдим, че беше поискан откуп в биткойн, но не можем да посочим конкретната сума“, коментира Ранда Кониглио, главен изпълнителен директор на пристанището. Тя допълва, че е мобилизиран екип, който да минимизира щетите от атаката. Откуп не е плащан.

Въпреки че атаката не е блокирала дейността на пристанището, тя все пак е оказала влияние върху системата за паркиране, заявките за достъп до публична информация и някои бизнес услуги.

Все повече атаки

Случаят е поредният пример за това как рансъмуерът може да бъде заплаха дори за големи организации, които управляват критично важна инфраструктура. По-малко от седмица преди инцидента в сан Диего пристанището в барселона също съобщи, че е пострадало от кибератака, без обаче да уточнява от какво естество е тя. Два дни след първоначалното съобщение в официалния профил в Twitter на пристанището беше публикувана информация, че атаката не е попречила на ежедневните операции.

[UPDATE]#PortofBarcelona has responded actively to the attack received, operating normally and without altering its seaside and land operations.

The Information Systems Department continues working to recover the functionalities, only internal, which have been affected.

— Port of Barcelona (@portofbarcelona) September 22, 2018

Управата на американския град Атланта нямаше този късмет. През март 2018 г. градът пострада от масирана атака с рансъмуер, наречен SamSam, който засегна някои от електронните системи, с които гражданите си плащат сметки и задължения към общината. Организаторите на атаката поискаха откуп от 51 хил. долара (сумата варира, тъй като откупът беше поискан в биткойн). От последвали публикациите в медиите стана ясно, че Атланта е отделила почти 2.7 млн. долара от бюджета си, за да покрие щетите от рансъмуера.

SamSam беше причина и за блокиране на работата на Колорадския департамент по транспорта през февруари 2018 г. Около 2000 служители на ведомството не можеха да използват компютрите си. Достъпът им до интернет беше спрян, за да се предотврати разпространение на заразата. Служителите трябваше да разчитат на лични лаптопи и смартфони, както и безплатни облачни услуги за споделяне на файлове.

Парализа на ключова информационна инфраструктура

Всички тези случаи показват, че рансъмуерът вече не се използва само за събиране на откупи от порядъка на 400 долара от индивидуални потребители, каквато беше практиката преди 2 години. Атаките с рансъмуер стават все по-мащабни и таргетират определени организации, която управляват ключова за обществото и бизнеса инфраструктура. Това може да е държавна администрация, пристанище, електроцентрала и т.н. Целта на организаторите на атаката е да парализират тази инфраструктура, за да увеличат шансовете си да получат откуп.

Какво могат да направят организациите

Атака с рансъмуер може да се осъществи по различни начини. Най-тривиалният е чрез имейл кампания, насочена срещу служители на организацията. Случаят с Атланта показа, че зловреденият код може да бъде „доставен“ до компютрите и чрез отдалечен достъп (Remote Desktop Protocol).