Масова инфекция с криптовируса Mailto затрудни работата на австралийската логистична компания Toll Group, част от Japan Post Holdings.
Атаката срещу организацията е осъществена през нощта в събота срещу неделя (2 февруари 2020). Тя е принудила компанията да спре няколко приложения, с които работят клиентите й. Официалната позиция е, че няма засегнати или изтекли лични данни на клиенти.
Към момента дейността на организацията постепенно се завръща към нормалните си нива.
2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.
Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.
За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.
Как работи измамата
Досега стандартните криптовируси действаха по добре позната система:
Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си. Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.
Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com
Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.
Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.
Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.
Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:
Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com
Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD.
Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:
Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.
Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирус – Nemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:
Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com
Подобни планове имат и авторите на Maze.
Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.
Много повече от криптиране
Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.
След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.
Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:
Договори
Стратегии и планове
Лични данни на клиенти и служители
Дизайни и чертежи
Ноу-хау
Бази данни с клиенти
Информация за продажби
А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкции – например, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.
Какво да направя в такава ситуация
Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.
Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.
Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.
„Беше слънчев следобед в Копенхаген. Приготвях софтуерен ъпгрейд за компютъра ми, когато се рестартира неочаквано. Докато се ядосвах на системните администратори, видях че три екрана около мен почерняват. После още, и още, и още. Екраните почерняваха един след друг, след което компютрите ни се оказваха необратимо криптирани.“
Историята е на Хенрик Йенсен (името е измислено), един от хилядите служители на логистичния гигант Maersk. Компанията е една от най-тежко засегнатите от криптовируса NotPetya, определен от сп. Wired за „най-опустошителната кибератака в историята на човечеството до момента.
Щетите от заразата, използваща уязвимостта EthernalBlue, достигат до 10 млрд. USD, а сред засегнатите компании са:
870 млн. USD, фармацевтичната Merck
400 млн. USD, логистичната FedEX (TNT Express в Европа)
384 млн. USD, френската строителна компания Saint-Gobain
300 млн. USD, логистичната Maersk
188 млн. USD, производителят на храни Mondelēz
Започнал като кибервоенно действие, криптовирусът е довел до принудителното спиране на десетки глобални бизнеси. Пълната история на Wired четете тук.
Успешна зараза с криптовируса BadRabbit 4 стана причина за забавен прием и изписване на пациенти и предписване на медикаменти в 4 румънски болници, съобщава romania-insider.com.
Според изданието, заразата най-вероятно е осъществена посредством успешна фишинг атака срещу здравните заведения в градовете Букурещ, Хуш, Дорохой и Карбунещ. Според специалистите пробивът не е бил сложен и е могъл да бъде овладян от обикновено антивирусно решение.
Румънски медии цитират здравния министър Сорина Пинтея, според която атаката е овладяна, а пациентите нямат повод за притеснение. Министърът обаче добавя, че заразата е затруднила част от процедурите по приемане и изписване на пациенти, използване на отстъпки и др. Румънската здравноосигурителна каса (CNAS) не е засегната от атаката.
Успешните кибер атаки срещу лечебни заведения не са прецедент в Румъния. През 2017 г., след успешна атака на данните на лечебно заведение, хакери са поискали 10 хил. EUR, за да възстановят информацията.
Пристанището на Сан Диего е поредната организация, пострадала от рансъмуер атака. За нея беше съобщено най-напред на 25 септември, но последствията от нея все още не са напълно ясни. Известно е, че атаката не е спряла напълно работата на пристанището. Засегнати са някои от информационните системи, свързани с администрацията му.
„Тъй като някои от информационните системи на пристанището са компрометирани, служителите изключиха и други системи като превантивна мярка… Можем да потвърдим, че беше поискан откуп в биткойн, но не можем да посочим конкретната сума“, коментира Ранда Кониглио, главен изпълнителен директор на пристанището. Тя допълва, че е мобилизиран екип, който да минимизира щетите от атаката. Откуп не е плащан.
Въпреки че атаката не е блокирала дейността на пристанището, тя все пак е оказала влияние върху системата за паркиране, заявките за достъп до публична информация и някои бизнес услуги.
Все повече атаки
Случаят е поредният пример за това как рансъмуерът може да бъде заплаха дори за големи организации, които управляват критично важна инфраструктура. По-малко от седмица преди инцидента в сан Диего пристанището в барселона също съобщи, че е пострадало от кибератака, без обаче да уточнява от какво естество е тя. Два дни след първоначалното съобщение в официалния профил в Twitter на пристанището беше публикувана информация, че атаката не е попречила на ежедневните операции.
[UPDATE]#PortofBarcelona has responded actively to the attack received, operating normally and without altering its seaside and land operations.
The Information Systems Department continues working to recover the functionalities, only internal, which have been affected.
Управата на американския град Атланта нямаше този късмет. През март 2018 г. градът пострада от масирана атака с рансъмуер, наречен SamSam, който засегна някои от електронните системи, с които гражданите си плащат сметки и задължения към общината. Организаторите на атаката поискаха откуп от 51 хил. долара (сумата варира, тъй като откупът беше поискан в биткойн). От последвали публикациите в медиите стана ясно, че Атланта е отделила почти 2.7 млн. долара от бюджета си, за да покрие щетите от рансъмуера.
SamSam беше причина и за блокиране на работата на Колорадския департамент по транспорта през февруари 2018 г. Около 2000 служители на ведомството не можеха да използват компютрите си. Достъпът им до интернет беше спрян, за да се предотврати разпространение на заразата. Служителите трябваше да разчитат на лични лаптопи и смартфони, както и безплатни облачни услуги за споделяне на файлове.
Парализа на ключова информационна инфраструктура
Всички тези случаи показват, че рансъмуерът вече не се използва само за събиране на откупи от порядъка на 400 долара от индивидуални потребители, каквато беше практиката преди 2 години. Атаките с рансъмуер стават все по-мащабни и таргетират определени организации, която управляват ключова за обществото и бизнеса инфраструктура. Това може да е държавна администрация, пристанище, електроцентрала и т.н. Целта на организаторите на атаката е да парализират тази инфраструктура, за да увеличат шансовете си да получат откуп.
Какво могат да направят организациите
Атака с рансъмуер може да се осъществи по различни начини. Най-тривиалният е чрез имейл кампания, насочена срещу служители на организацията. Случаят с Атланта показа, че зловреденият код може да бъде „доставен“ до компютрите и чрез отдалечен достъп (Remote Desktop Protocol).
Съвети за бизнеса:
Обучавайте служителите си да разпознават рансъмуер;
Не отваряйте имейли от непроверен източник;
Използвайте антивирусен софтуер с вградена защита от рансъмуер;
Използвайте трудни за познаване пароли и двуфакторна автентикация за отдалечен достъп до компютри и сървъри в офиса;
До този момент 2018 г. върви сравнително (и привидно) по-спокойно от предходната, ако говорим за разкрити пробиви в информационната сигурност. „По-спокойно“ обаче не означава, че няма пробиви – дори обратното. Ето част от най-мащабните такива през 2018 г.
NotPetya – най-скъпата кибератака до момента
Криптовирусът разкъса компании от цял свят, причинявайки загубата на терабайти чувствителна информация. На два пъти, атаката постигна и нещо друго невиждано до сега – масовото на електрозахранване, причинено от компютърен вирус.
Според САЩ, атаката идва от руските военни части, а те трябва да бъдат подведени под отговорност. Това е донякъде иронично, тъй като основният използван инструмент е техника, изтекла от NSA (националната агенция за сигурност на САЩ).
Ирански хакери срещу университети в САЩ
След като осъществяват атака срещу над 300 университета в САЩ, група ирански хакери биват разпознати и осъдени. В процеса се стига до заключението, че са успели да проникнат в 144 университета в САЩ, 176 в 21 други страни и 47 частни компании. Според министерството на правосъдието на САЩ, хакерите са откраднали над 31 терабайта данни.
Изтичащи и изтекли данни
Няма как да не споменем всичкото източване и изтичане на данни, на което сме свидетели ежедневно. Сред случаите с най-много медийно внимание попада и този на фирмата Exactis – компания, която събира лични данни, които могат да бъдат използвани за инзудване. Доскоро, компанията ги съхраняваше на публично достъпни сървъри.
Фитнес тракер стана източник на 150 милиона потребителски записа
Атаката над MyFitness Pal e отличен пример за неспособността на корпоративния свят да навакса с изискванията на сигурността. Източването на данни при нея се случва само и единствено защото част от тях са били криптирани с доказано уязвим алгоритъм – SHA1.
Другата част от данните са били надеждно подсигурени и не са пострадали при атаката.
Както винаги, напомняме, че можете да видите дали сте жертва на една от споменатите атаки, като използвате HaveIBeenPwned – безплатна услуга, която проверява за потребителското ви име или мейл в изтеклите бази данни.
Ако имате засегнати от Everbe Ransomwere файлове, може да ги декриптирате безплатно. Добрата новина за всички пострадали от дойде от известните изследователи на зловреден софтуер Майкъл Гилеспи и Максим Мейнън, които са автори на инструмента.
Как да разпознаем Everbe
Everbe Ransomwere криптира файлове с разширения [[email protected]].everbe, .embrace, или .pain, които се добавят към името на криптирания файл.
Когато зловредният софтуер зарази машина, той прикрепя текстови файл за откуп във всяка папка съдържаща криптирани файлове. Въпросният файл е озаглавен !=How_recovery_files=!.txt и съдържа информация за размера на откупа. Начинът на плащане се уточнява след изпращането на мейл на [email protected].
Как да се справим сами
Разполагайки с новия InsaneCrypt Dekryptor, можете сами да се справите със ситуацията и да си възстановите криптираните файлове. Всичко, което трябва да направите, е да влезете в менюто Settings и да изберете опция “Bruteforcer”.
За да декриптирате файловете е необходимо да предоставите на инструмента и двете версии на един и същи файл – криптирана и некриптирана. След като процесът завърши, приложението ще намери ключът за декриптиране, който инструментът ще използва за възстановяване на файлове.
Когато процесът на декриптиране приключи, ще видите и резюме с информацията за общото количество декриптирани файлове.
Какво да правите след декриптирането – ето съветът на Лорънс Ейбрамс:
Въпреки че файловете ви вече са декриптирани, оригиналните криптирани файлове ще останат на компютъра ви. След като потвърдите, че файловете ви са правилно декриптирани, можете да използвате CryptoSearch, за да преместите всички криптирани файлове в една папка, за да ги изтриете или архивирате.
Няма спор, че 2017 г. беше годината на криптовирусите (или ransomware). Няма спор, и че от началото на 2018 г. те някак изчезнаха от заглавията на медиите – след гръмкото отразяване на имена като WannaCry, NotPetya и Bad Rabbit.
От началото на годината обаче са засечени с 35% по-малко опити за зараза при крайните потребители и 28% ръст при бизнес потребителите. Да, това е знак, че интересът към този тип зловредни атаки не е намалял – дори обратното. GandCrab, Scarabey и Hermes са сред новите имена на пазара, които засенчиха предишните величия като Locky и Cerber.
От началото на годината няма и твърдо много шум или разкрити гигантски пробиви, огромни масиви източени данни или разкрити атаки – но кибер-престъпността е далеч от изчезнала.
Пример за това твърдение е появата на изцяло нов тип атаки – coinminer. Тези атаки не насочени срещу потребителите – поне не директно. На практика, те експлоатират легална функция на CoinHive, която позволява „копаeнето“ за криптовалутата Monero директно през браузъра на потребителя. Как? Като кодове, изпълняващи тази функция, се инжектират в множество сайтове (обикновено) без знанието на собствениците на самите сайтове.
Така, всеки посетител на даден сайт започва да „копае“ Monero докато е на сайта. Което е довело до 27% на тези атаки за първото тримесечие на годината при десктопи и лаптопи – и им отрежда второ място сред най-разпространените сред бизнес потребителите. При мобилните атаки ръстът е 40 пъти – или 4000% само за година.
Разбира се, твърде рано е да се каже дали това е „новата тенденция“ в областта на кибер-сигурността, но е хубаво да проверявате редовно сайтовете и уеб приложенията, с които работи бизнеса ви за наличието на подобни снипети код. Спомнете си само каква беше реакцията на хората като разбраха, че сайт като The Pirate Bay планира да замени рекламата с coinminer-и. А сега си представете, че разберат, че сайтът на организацията ви има подобен код и 1) експлоатирате системните ресурси на потребителите си без знанието им и 2) всъщност – какви може да са щетите по репутацията ви, ако се разбере, че на сайта ви могат да бъдат добавяни кодове „просто така“?
Нов (стар) модел за дистрибуция на ransomware – “Ransomware as a Service” (RaaS) позволява на всеки да си наеме вирус и да печели от това. Като под всеки разбираме буквално всеки с достъп до интернет и средства за електронни разплащания.
Услугата вирус под наем става толкова просто, колкото да си наемете хостинг – или да си купите обувки онлайн. Под примамката за лесна печалба, обаче, се крие огромен риск: наемането на такъв вирус и разпространяването му с цел печалба превръща всеки един в престъпник.
Кибер-престъпността откри нов бизнес модел
И ако кибер-престъпността отдавна е доста печеливш бизнес, то сега тя откри нов модел за печелене на пари от потребителите.
Де факто, услугата вирус под наем позволява на всеки един потребител да създаде своя собствена модификация на криптовирус (или ransomware) – да определи какви съобщения да виждат жертвите му, какъв откуп да плащат… Общо взето – проста работа.
Цената на услугата също е привлекателна -започва около 40 USD и расте според ефективността на вируса и възможностите му за персонализация, степента на прикриване и защита от разкриване от антивирусни програми. Част от услугите предлагат дори и учебни материали, систематизирани „кампании“ на заразяване и други онлайн инструменти за по-ефективна дейност.
Всичко се управлява чрез уеб портал, точно както уеб приложенията, които използвате ежедневно за работа. Заплащанията за абонаментни планове, всички услуги и подкупите се извършват в bitcoin, което ги превръща в много трудно проследими.
Това не са добри новини за законния бизнес
Успехът на тези платформи дава шанс на всеки да атакува информацията и организацията ви. Всеки.
Забравете от необходимостта за осъществяване на атака някой да прекарва безброй часове, в които да учи езици за програмиране, устройство на мрежи и операционни системи. Забравете необходимостта да се търсят нови уязвимости и някой да ги експлойтва. Този някой вече има готови инструменти, с които за минути може да генерира готова атака срещу мрежата ви – и да тества екипа ви за ИТ сигурност.
Това може да означава огромен ръст на атаките от хора, които си няма бегла идея за това какво правят – познати още като script kiddies. От една страна, не би трябвало да е трудно да се защитим от хора без умения, нали? От друга страна, обаче, ако хората, които ви защитават, са заети да се борят с опитите на неуките, то няма да има кой да реагира на истински прецизната атака, която ще премине през защитата ви и дори няма да остави следа.
Като добавим и факта, че създателите на ransomware произвеждат нови варианти на вирусите си – такива, които биват засичани по-трудно и могат да им донесат по-голяма печалба – ситуацията става далеч от розова.
Затова, препоръчваме да следвате следните
Съвети за системни администратори:
Не пестете от бекъпи – бекъпвайте често и запазвайте скорошни копия на сигурно местоположение извън фирмената мрежа, като допълнителна мярка за безопасност.
Внимавайте с прикачените файлове – информирайте колегите и клиентите си, че ако не знаят какво е съдържанието на документа, който са получили, в никакъв случай не трябва да го отварят, за да проверят.
Забранете използването на макро команди в документи, които са получени по мейл – много от заразите разчитат на това, че допълнително сте включили автоматичното изпълнение на макро и по този начин свалят т.нар. payload.
Патчвайте редовно – множество заплахи целят да експлоатират уязвимости в приложенията, които използвате. Колкото по-често патчвате, толкова по-малко оставяте пролуки в сигурността си.
Съвети за потребители:
Не гонете лесните пари – наемането на криптовирус може да ви се струва привлекателна алтернатива за припечелване на някой лев (пардон, bitcoin), но всъщност НЕ Е. Ако криптирате информация на чужди компютри и/или телефони, то вие се превръщате в престъпник и може да бъдете съдени. Ако се замесите с престъпници, може да се превърнете в тяхна марионетка или по-лошо – муле.
Не влизайте там, където не трябва. Напоследък тъмният интернет се радва на огромно внимание от страна на медиите. Там няма нищо, което да е толкова невероятно или привлекателно. Не влизайте там, където не знаете какво се крие зад всеки ъгъл.
През последните две години без съмнение станахме свидетели на исторически пик за ransomware заплахите. Вируси като Petya и WannaCryptor причиниха загуби на стойност милиарди долари на бизнеси от цял свят. Докато голяма част от тях все още се борят с щетите от атаките, ние трябва да насочим погледа си към друга належаща заплаха – ransomware за Android.
Мобилните платформи отдавна не са в безопасност
Експлоатирането на уязвимости във функциите за достъпност на системата стана най-новата част от репертоара на хакери от цял свят. Заедно с това подкупите, които се изискват стават все по-солени, тъй като мобилните платформи са вече достатъчно разпространени, за да бъдат апетитни за престъпниците.
Един от най-емблематичните случаи, който демонстрира и двете тенденции, е едно изцяло ново семейство от ransomware, открито от изследователи на ESET. Заплахата изплува на повърхността през последните месеци на миналата година, а вие можете да я разпознаете под името DoubleLocker. Притесняващото при нея е това, че не просто заключва устройството ви или данните на него, но и двете едновременно. Периодът на активизиране на DoubleLocker е отговорен за един от видимите пикове в заплахите за цялата година.
Можем ли да сме спокойни?
Този поглед назад ни показва една изключително притеснителна ситуация. Чисто статистически обаче, заплахите за Android през тази година не следват наблюдаваната тенденция. След достигането на пика си през първата половина на 2016 г., през изминалата година наблюдаваме постепенно намаляване на засечените заплахи
Все пак, не бързайте да сваляте приложения безразборно, тъй като няколко скока в графиката (видима по-долу) към края на годината може да вещаят завръщане.
Съвети за системни администратори
Съветите за предпазване на Android устройства са приложими във всякакви ситуации, дори и да не става въпрос за ransomware. Това са най-важните от тях:
Сваляйте приложения от доверени източници като Google Play. Информирайте всички потребители, че повечето други източници на приложения носят различни видове опасности.
Използвайте системата за сигурност на Google – Play Protect. Можете да я включите като отидете на Настройки > Google > Сигурност > Play Protect.
Използвайте надеждно решение за мобилна сигурност
Правете чести бекъпи на информацията на устройствата – ако се стигне до заразяване с ransomware, то вие ще можете по-лесно да възстановите устройството си
Използваме бисквитки, за да ви гарантираме възможно най-добрата работа на нашия уебсайт. Но ако желаете, можете да промените вашите настройки за бисквитките във всеки един момент. Можете да намерите подробна информация за нашата политика за бисквитките като кликнете върху "Разберете повече". Разберете повече
