Ransomware

Както многократно сме писали, рансъмуер е вид злонамерен софтуер, който заключва компютъра ви или криптира данните ви, като изисква да платите откуп, за да си възвърнете контрола върху засегнатото устройство или файлове.

За да противодействат на заплахата, Европейският център за киберпрестъпления на Европол, Националното звено за високотехнологична престъпност на холандската полиция и McAfee създават No More Ransom (NMR). Инициативата подпомага жертвите на рансъмуер да извлекат своите криптирани данни, без да се налага да плащат на престъпниците.

NMR отбелязва петата година на проекта, като стартира нов уебсайт. Модерен и лесен за употреба, той предлага актуализирана информация за рансъмуер, както и съвети как да предотвратите зараза.

В момента сайтът предлага 121 безплатни инструмента, способни да дешифрират 151 семейства криптовируси.  Порталът е достъпен на 37 езика и обединява 170 партньори от публичния и частния сектор.

NMR работи в помощ на пострадалите, но създателите му припомнят, че добрата хигиена на работа е първото ниво на защита:

• Редовно архивирайте данните, съхранявани на вашите електронни устройства
• Внимавайте върху какво кликате – винаги проверявайте къде води линкът
• Пазете се от прикачени файлове в имейли
• Поддържайте софтуера за сигурност и операционната ви система актуални
• Ако станете жертва, не плащайте! Подайте сигнал за престъплението и потърсете на No More Ransom за инструменти за декриптиране

Рансъмуер атака срещу международната ИТ компания Kaseya изглежда е засегнала стотици нейни клиенти по веригата за доставки (supply chain attack).

Kaseya призовава всички потребителите на продукта на компанията VSA да го изключат веднага, за да елиминират евентуален хакерски достъп.

Kaseya предлага софтуерни продукти на доставчици на управлявани услуги (MSP) – компании, предоставящи отдалечено ИТ обслужване на по-малки фирми, които не разполагат с вътрешни ресурси. MSP използват облачната платформа на Kaseya VSA за да управляват и изпращат актуализации на софтуера на своите клиенти.

Смята се, че рансъмерът е проникнал във VSA чрез злонамерена актуализация и впоследствие е засегнал не само MSP, които използват платформата, но и техни клиенти. Смята се, че зад атаката стои небезизвестната групировка REvil / Sodinikibi.

Японският мултинационален конгломерат Fujifilm заяви, че е отказал да плати откуп на киберпрестъпниците, криптирали мрежата му в Япония преди седмица. Компанията разчита на резервни копия за възстановяване на дейността си.

На 4 юни 2021 г. рансъмуер атака причини изключването на всички мрежи и сървърни системи.

Fujifilm обяви, че няма риск за мрежата, сървърите и оборудването в региона на EMEA или за клиенти в EMEA.

Експертите по киберсигурност съветват да не се плаща откуп, тъй като няма гаранция, че системите ще бъдат възстановени или че откраднатите данни няма да бъдат продадени.

Най-голямата компания за преработка на месо в света е била обект на сложна кибератака.

Хак на компютърните мрежи в JBS временно е спрял работата на няколко поделения на компанията в Австралия, Канада и САЩ и е засегнал хиляди работници.

Става дума за рансъмуер атака и поискан откуп. Компанията е разбрала за пробива на 31.05.2021 и веднага е спряла всички засегнати ИТ системи – смята, че резервните сървъри не са били хакнати.

ИТ системите са от съществено значение за съвременните месопреработвателни предприятия, като компютрите се използват на няколко етапа, включително фактуриране и доставка.

JBS е най-големият доставчик на месо в света с повече от 150 завода в 15 страни и 150 хил. служители. Сред клиентите на компанията са множество супермаркети и заведенията за бързо хранене McDonald’s. В САЩ JBS преработва почти 25% от говеждото месо в страната и 20% от свинското месо.

Атаката може да доведе до недостиг на месо или повишаване на цените за потребителите.

Миналият месец доставката на гориво в югоизточната част на САЩ спря за няколко дни, след като рансъмуер атака порази най-големия американски петролопровод.  Colonial Pipeline потвърди, че е платил 4,4 млн. USD откуп на киберпрестъпниците, които разследващите свързват с Русия.

Екипът на Sophos за бързо реагиране (Sophos Rapid Response team) е съставил списък с най-често срещаните погрешни възприятия за киберсигурността. Става дума за грешки на мениджърите / администраторите, с които специалистите от екипа са се сблъскали през последните 12 месеца, докато са неутрализирали и разследвали кибератаки в широк кръг организации.

Десетте най-разпространени заблуди по отношение на киберсигурността, които Sophos опровергава са:

Заблуда 1: Ние не сме цел – твърде малки сме и / или нямаме ценни активи

Контрапункт: Повечето киберпрестъпници търсят лесна плячка и бърза финансова облага – те преследват пропуски в сигурността и погрешни конфигурации, които могат лесно да използват. Ако смятате, че вашата организация не е цел, вероятно не проверявате редовно мрежата си за подозрителна активност и може да пропуснете ранни признаци на кибератака.

Заблуда 2: Нямаме нужда от усъвършенствани технологии за сигурност, инсталирани навсякъде

Контрапункт: Ежедневно се увеличават техниките за атака, които заобикалят или деактивират софтуера за защита на крайните точки. Сървърите вече са цел номер едно за атака и нападателите могат лесно да намерят директен маршрут, използвайки откраднати идентификационни данни за достъп. Всички грешки в конфигурането, пачването или защитата правят сървърите уязвими, включително тези под Linux. Дори нападателите често инсталират задна врата (backdoor) на Linux машини, за да ги използват после като безопасни укрития за достъп до мрежата ви.

Заблуда 3: Имаме непоклатими политики за сигурност

Контрапункт: Да, наличието на политики за сигурност на приложенията и потребителите е много важно. Те обаче трябва да се проверяват и актуализират постоянно, тъй като към устройствата, свързани в мрежата, се добавят непрекъснато нови функции и функционалности.

Заблуда 4: Можем да защитим RDP сървърите от нападатели чрез промяна на портовете, на които се намират, и въвеждане на многофакторно удостоверяване (MFA)

Контрапункт: Сканирането на портове от страна на нападателите ще идентифицира всички отворени услуги, независимо къде точно се намират, така че смяната на портове, само по себе си, предлага малка или никаква защита.

Колкото до въвеждането на MFA, то е важно, но няма да подобри сигурността, ако политиката не бъде приложена за всички служители и устройства.

Заблуда 5: Блокирането на IP адреси от високорискови региони като Русия, Китай и Северна Корея ни предпазва от атаки, идващи от тези географски локации

Контрапункт: Блокирането на IP адреси от определени региони е малко вероятно да навреди, но може да създаде фалшиво усещане за сигурност, ако разчитате само на него за защита. Нападателите хостват своята злонамерена инфраструктура в различни държави, включително САЩ, Холандия и останалата част на Европа.

Заблуда 6: Нашите архиви ни осигуряват имунитет срещу въздействието на рансъмуера

Контрапункт: Поддържането на актуални архиви е от решаващо значение за бизнеса. Ако обаче те са свързани към мрежата, остават в обсега на нападателите и са уязвими на криптиране, изтриване или деактивиране при рансъмуер атака.

Ограничаването на броя на хората с достъп до вашите архиви може да не подобри значително сигурността, тъй като нападателите ще са прекарали време във вашата мрежа, търсейки точно тези хора и техните идентификационни данни за достъп.

По същия начин и съхраняването на резервни копия в облака трябва да се извършва внимателно – при инцидент, разследван от Sophos Rapid Response, е разкрито, че нападателите са изпратили имейл до доставчика на облачни услуги от хакнат акаунт на ИТ администратор и са го помолили да изтрие всички архиви – доставчикът е удовлетвотил молбата!

Стандартната формула за сигурни архиви, които могат да се използват за възстановяване на данни и системи след атака с рансъмуер, е 3:2:1: три копия на всичко, на две различни системи, едната от които е офлайн.

Последна забележка: офлайн резервни копия няма да ви защитят от престъпници, които крадат и заплашват да публикуват вашите данни, дори и да не ги криптират.

Заблуда 7: Нашите служители разбират киберсигурността

Контрапункт: Според The State of Ransomware 2021, 22% от организациите вярват, че ще бъдат засегнати от рансъмуер през следващите 12 месеца, защото е трудно да се спрат крайните потребители да компрометират сигурността.

Тактиките за социално инженерство като фишинг имейли стават все по-трудни за откриване. Съобщенията често са ръчно изработени, точно написани, убедителни и внимателно насочени.

Заблуда 8: Екипите за реагиране при инциденти могат да възстановят данните ми след рансъмуер атака

Контрапункт: Това е много малко вероятно. Днес атакуващите правят много по-малко грешки и процесът на криптиране се е подобрил, така че намирането на вратичка, която може да премахне щетите, се случва изключително рядко.

Заблуда 9: Ако платя откуп ще си получа обратно данните, откраднати при рансъмуер атака

Контрапункт: Според доклада State of Ransomware 2021, организация, която плати откуп, възстановява средно около две трети (65%) от своите данни. Само 8% получават обратно всичките си данни, а 29% възстановяват по-малко от половината.

Освен това връщането на данните е само част от процеса по възстановяване – в повечето случаи рансъмуерът напълно деактивира компютрите и софтуера и системите трябва да бъдат вдигнати от нулата, преди да се стигне до възстановяване на данните. Проучването през 2021 г. показва, че разходите за съвземане на бизнеса са средно десет пъти по-големи от търсения на откуп.

Заблуда 10: Криптирането изчерпва атаката – ако оцелеем, всичко е наред

За съжаление това рядко е така. Чрез криптирането нападателите ви дават да разберете, че са там и какво са направили.

Вероятно те са престояли във вашата мрежа в продължение на дни, ако не и седмици преди пускане на рансъмуера. Те са проучвали, деактивирали или изтривали резервни копия, открили са машини с ценна информация или приложения, които да криптират, премахнали са информация и са инсталирали задни врати… Продължителното присъствие в мрежата на жертвата позволява на нападателите да предприемат втора атака, ако пожелаят.

Как да се справите с организирането на киберсигурността във вашата фирма, прочетете тук:

• Киберсигурност на фирмата: откъде да започнете?
• Десет грешки при защитата на данните, които фирмите не трябва да допускат

Ransomware групите винаги са били находчиви в преследването на печалба. Ако платите откуп и се върнете към обичайната си работа – удрят ви отново. Или не просто криптират системите ви, а първо открадват данните ви – заплашват да ги публикуват, ако не платите.

Последното развитие? Хакерите криптират данните ви двойно: Дори след като платите за ключ за дешифриране, вашите файлове все още могат да останат заключени от друг вид зловреден софтуер.

Препоръка:

Най-добрата защита е превенцията: изисква инвестиции в решения за сигурност, но преди всичко – осъзнаване на мащабите на проблема.

Ако сте станали жертва на ransomware може да сте изкушени да платите, но дали това ще реши проблема или само ще мотивира престъпниците да продължат с изнудването?

Професионалистите в областта на киберсигурността са на мнение, че плащането на откуп трябва да бъде криминализирано.

Докладът State of Ransomware 2021 на Sophos разкрива, че средният размер на разходите, които един бизнес е нужно да направи, за да се възстанови от рансъмуер атака, са се удвоили през 2021 г. (1,85 млн. USD) спрямо 2020 г. Средният откуп е 170 хил. USD, но само 8% от организациите, които са платили, са получили обратно всичките си данни.

Проучването обхваща 5,4 хил. ИТ мениджъри в средни по размер организации в 30 държави по света.

Притеснителната възходяща тенденция по отношение на въздействието на атаките се дължи на това, че те стават все по-сложни и целенасочени, респективно възстановяването на бизнеса от тях – все по-трудно и изискващо повече финансови ресурси.

Докладът потвърждават твърдението, че когато става въпрос за рансъмуер, не си струва да плащате откуп – вероятността да върнете всичките си данни е много малка.

Важно е да знаете:

1. Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите
2. Mожете да потърсите помощ: На българския пазар вече съществуват добре утвърдени имена, които предлагат поддръжка, наблюдение и реагиране при инциденти, 24/7, под формата на външни оперативни центрове за сигурност (Security Operations Center – SOC)

Доставките на газ и дизел за Източното крайбрежие на САЩ са под въпрос, след като рансъмуер атака e спряла работата на най-големия петролопровод в страната.

The operator of the biggest gasoline pipeline in the U.S. shut down operations on Friday following a ransomware attack.@hmsjeffbair explains how the attack could impact fuel prices at the pump https://t.co/0A7S2yrgfF pic.twitter.com/IopjZBnzLd

— Bloomberg Quicktake (@Quicktake) May 8, 2021

Операторът на съоръжението, Colonial Pipeline, е изключил проактивно определени ИТ системи, за да ограничи заплахата. Поделението за реагиране при инциденти на компанията за киберсигурност FireEye Inc. помага на разследването.

Colonial Pipeline е ключова артерия за източната половина на САЩ. Той е основният доставчик на бензин, дизелово и реактивно гориво за Източното крайбрежие с капацитет от около 2,5 млн. барела на ден в системата му от Хюстън до Северна Каролина и още 900 хил. барела дневно до Ню Йорк.

Компютърният гигант Acer е ударен от хакерската група REvil, която е поискала най-големия известен откуп до момента – 50 млн. USD.

Информацията идва от самите хакери, които са публикували на сайта си изображения на файловете (финансови таблици и банкови комуникации), които твърдят, че са откраднали.

Атаката вероятно е дошла от експлойт на Microsoft Exchange.

Засега Acer не коментира подробности.

След като стана известно, че хакери са използвали zero-day уязвимости, за да компрометират Microsoft Exchange сървъри, ежедневно научаваме за нови експлоатации.

Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.

Атаката се разпространява

Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry @MsftSecIntel

— Phillip Misner (@phillip_misner) March 12, 2021

До момента киберспециалистите са открили жертви на криптовируса в САЩ, Люксембург, Индонезия, Ирландия, Индия и Германия.

Детекторите на доставчиците на антивирусен софтуер са засекли множество разновидности на DearCry:

• Ransomware/Win.DoejoCrypt [AhnLab]
• Win32/Filecoder.DearCry.A [ESET]
• Trojan-Ransom.DearCry.B [GDATA]
• Ransom-DearCry [McAfee]
• Ransom:Win32/DoejoCrypt.A [Microsoft]
• DearCry [Rising]
• Ransom/W32.DearCry [TACHYON]
• Win32.DEARCRY [TrendMicro]
• Ransomware.Dearcry [Webroot]

Как DearCry криптира компютрите

Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: [highlight color=“gray“]C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb[/highlight]

Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:

[toggle title=““ state=“open“].TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS[/toggle]

Криптираните файлове получават допълнително разширение .CRYPT:

Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:

След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:

Пачнахте ли Microsoft Exchange сървърите си

Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.

Прочетете още: Над 61% от всички Microsoft Exchange Server не са пачнати срещу активно експлоатирана уязвимост

Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.

Препоръки

Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.

Не неглижирайте и възможността в инфраструктурата ви вече да „живее“ недоброжелател – разгледайте и приложете стъпките, които Microsoft препоръчва за смекчаване на последиците:

Microsoft has released a new, one-click mitigation tool, the Microsoft Exchange On-Premises Mitigation Tool, to help customers who do not have dedicated security or IT teams to apply security updates for Microsoft Exchange Server. Learn more: https://t.co/IfChAqpcEH pic.twitter.com/xD94M8Czg5

— Microsoft Security Intelligence (@MsftSecIntel) March 15, 2021