Ransomware

Последен ъпдейт на 29 май 2020 в 14:41 ч.

Най-важното накратко:

• България е в топ 3 на потърпевшите държави на атака, известна под името „Лошото зайче“ (BadRabbit), стартирала на 24 октомври вечерта – над 10% от засечените зарази са от страната
• BadRabbit е подобрена версия на предшественика си NotPetya – ransomware червей, който се саморазпространява чрез SMB споделени директории
• Как да се защитите от BadRabbit, прочетете тук.

Нова вълна от ransomware в Източна Европа засегна и България. На 13 октомври Украинската служба за сигурност излезе с предупреждение, че е възможно нова голяма кибер атака да бъде стартирана в периода 13 – 17 октомври, което съвпада с честванията на Деня на защитниците на Украйна. Опасенията се оказаха реални и атаката известна под името „Лошото зайче“ (BadRabbit) бе стартирана снощи (24.10.2017), като основна цел наистина се оказаха Украйна – засегнати са железопътния и въздушен транспорт. Според телеметрични данни България е в топ 3 на потърпевшите държави, но все още нямаме официални данни за жертви в правителствения и публичен сектор:

• Russia: 65%
• Ukraine: 12.2%
• Bulgaria: 10.2%
• Turkey: 6.4%
• Japan: 3.8%
• Other: 2.4%

„Лошото Зайче“ към момента се разпознава от 41/66 антивирусните решения, като вариант на  Win32/Diskcoder:

BadRabbit е подобрена версия на предшественика си NotPetya – ransomware червей, който се саморазпространява чрез SMB споделени директории, използвайки Mimikatz инструмента. За разлика от предходната атака, този път EternalBlue експлойта не е включен в арсенала на престъпниците.

Update (2 октомври 2017 г.):
Секюрити рисъчъри направиха по – задълбочен анализ и откриха, че
в Bad Rabbit всъщност е имплантиран експлойтът EternalRomance, имащ за цел да изпълни отдалечено код върху таргетираната машина.

Поради факта, че едновременно са засегнати стратегически обекти и фирми в Украйна, има съмнения за watering-hole attack. Т.е. престъпниците вече са имали достъп до тези мрежи и просто са стартирали криптирането.

Първоначалното разпространение е чрез drive-by сваляне от популярни сайтове!

 Зад Drive-by сваляне (download) терминът стоят два подхвата:

1. Жертвата оторизира свалянето, но не осъзнава последствията – програма която автоматично се изпълнява и инсталира зловреден код;
2. Всяко сваляне, което се извършва без уведомяване на жертвата;

В случая, става въпрос за drive-by сваляния на фалшиво обновление за Flash Player от компрометирани сайтове, за сега идентифицирани два български сайта :

• hxxp://grupovo[.]bg
• hxxp://www.grupovo[.]bg
• hxxp://www.otbrana[.]com

При посещение на някой от заразените сайтове (пълен списък) се изпълнява JavaScript, който от своя страна изпраща данни към престъпниците, чрез които определят дали жертвата е интересна за тях. В случай, че сте един от „печелившите“ ще бъде показан въпросният прозорец за ъпдейт на FlashPlayer:

С натискането на „INSTALL“ се сваля install_flash_player.exe, което всъщност е Win32/Filecoder.D, финалният резултат е бележка за откуп:

За всяка жертва се генерира уникален ключ. който е необходим на престъпниците да идентифицират плащанията в предназначения за целта портал в Tor мрежата:

Екипът на freedomonline.bg Ви съветва никога да не прибягвате до плащания, а да се обърнете към специалисти в случай, че криптираната информация е важна за Вас.

Инфектиране на мрежата през SMB

Веднъж свален и изпълнен „Лошият Заек“ започва да подскача в мрежата на жертвата, търсейки споделени директории, използвайки списък от най–лошите пароли, за да се сдобие с достъп. В случай, че комбинацията (user/pass) липсва в предварително зададените, се изпълнява вече споменатия инструмент – Mimikatz.

Криптирането започва след принудително рестартиране на компютъра

Лошият братовчед на Бъгс Бъни създава планирани задачи за рестарт на компютъра, използвайки имена с референции към сагата „Game of Thrones“.

Метода на криптиране използван от BadRabbit също е подобен на този в NotPetya – използва се open source легитимен софтуер DiskCryptor.

Следва пълно криптиране на диска и файловете с произволно избран ключ (шифър AES-128-CBC), който от своя страна е защитен с RSA 2048 публичен ключ.

Каква е ваксината за бесните зайци

• Спрете да използвате Flash технологията. Не случайно тя ще бъде убита до 2020 година.
  Като премахнете flash player, не само се защитавате от новооткрити уязвимости, но също елиминирате изкушението да приложите фалшиви ъпдейти;
• Обновявайте вашите операционни системи, интернет браузъри и приложения. През последната година станахме свидетели на атаки, чиято успеваемост се дължеше изключително и само на пропуснати ъпдейти. Инсталирайте легален софтуер и доказали се решения за информационна сигурност;
• Бекъп, бекъп, бекъп… 3,2,1 – регулярни бекъпи на различни носители, на повече от една локация. Не забравайте тяхното верифициране!
• Гарантирайте права на потребителите до толкова, колкото им е необходимо. Ненужно привилегировани акаунти често за причина за болки в сърцето :( Защо му е на лошото зайче да отгатва пароли, ако вече се е сдобил с администраторски акаунт?
• Обучение на служители, семейство и приятели – споделяйте добри практики, новини и проблеми с околните. Повишавайте тяхната заинтересованост и изострете тяхната бдителност. Дали ще сте жертва или не, понякога зависи от натискането на бутона „INSTALL“.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:34 ч.

DoubleLocker е ново поколение криптовирус (или ransomware), който залага на двуфакторнозаключване на информацията на потребителя – чрез принудителна смяна на PIN кода на устройството и криптиране на информацията, за всеки случай.

В основата на вируса е добре познатият троянец Android.BankBot.211, който краде банкова информация от засегнатите устройства. DoubleLocker се разпространява подобно на пра-родителя си – най-вече под формата на фалшив Adobe Flash Player чрез заразени сайтове.

Откупът за отключване на информацията е 0.0130 BTC (в момента – около 54 долара) – а срокът за плащането му е 24 часа. Дори и да не бъде платен обаче, информацията на устройството няма да бъде изтрита.

В съобщението за откуп е добавено предупреждение, че потребителят не трябва да се опитва да премахва по какъвто и да било начин или да блокира DoubleLocker: “Без [софтуерът], никога няма да може да получите информацията си обратно”.

А за да предотвратят нежелано деинсталиране на „софтуера“, киберпрестъпниците дори препоръчват деактивиране на наличен антивирус на устройството.

Как може да се предпазите от DoubleLocker и как да премахнете вируса от вече заразено устройство – може да прочетете в блога на ESET, които са откриватели на заразата.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:48 ч.

Въвеждането на General Data Protection Regulation (GDPR) и нарастващият брой информационни пробиви са основните причини малкият и среден бизнес да внедрява технологии за защита на данни. За съжаление ограничените ресурси и наситеният пазар на решения за криптиране на информация прави избора на такава технология сравнително труден.

Ако бизнеса ви се затруднява в избора на криптиращ софтуер, опитайте да си дадете отговор на следните въпроси:

Кои компютри представляват най-голям риск?

Дали това са компютрите, които не мърдат от бюрото на служителите ви, или лаптопите, които пътуват с тях в командировки? Въпреки, че шансът една машина да бъде открадната извън офиса е значително по-голям, вашият бизнес може да е много по-застрашен от умишлена злоупотреба на работното място, отколкото от случаен инцидент на улицата. Отговорът на този въпрос е важна отправна точка, защото идентифицира устройствата, които се нуждаят от защита.

Отговаря ли криптиращата система на нуждите на вашия IT отдел за пълен дистанционен контрол върху криптирането на крайни устройства?

Всички сериозни продукти за криптиране предоставят възможността за дистанционно управление на криптирането, но не и без усложнения. Повечето подобни услуги се нуждаят от отворена приходяща връзка към демилитаризирана зона (DMZ) на вашия сървър или VPN връзка. Всички криптиращи системи разчитат на това администраторът да има добри IT умения, а за да функционират изправно, могат да изискват от потребителя да активира връзката. Това от своя страна повишава риска от вътрешен саботаж или злоупотреба в случай на изгубено устройство.

Прочетете повече: 4 стъпки за предотвратяване на изтичане на информация

Добрата криптираща услуга предоставя възможност за дистанционно управление на криптирането:

• Без да създава допълнителни рискове за сигурността
• Без да се нуждае от задълбочена техническа експертиза
• Без да оскъпява целия процес

Защо това е важно?

Възможност за бърза промяна в политиките за сигурност, мигновена подмяна на криптиращите ключове и дистанционно управление на криптирането на крайни устройства: всичко това ви прави по-защитени.

Допускат се изключения, само когато са нужни, и само ако могат лесно и бързо да се премахнат. Ако не прилагате подобна политика, ще ви се наложи да оставите ключа „под изтривалката“ за всеки случай, а това ще отвори дупки в сигурността, които не искате да имате.

Прочетете повече: 5 стъпки за предотвратяване на пробив в системата

Има ли опция за дистанционно заключване и изтриване на криптиращите ключове от крайните устройства?

Този въпрос е от изключителна важност когато работен компютър с изцяло криптиран твърд диск попадне в неправилните ръце, докато е в спящ режим или с включена операционна система. Подобна ситуация се превръща в истински кошмар, когато машината идва с парола за pre-boot, изписана върху стикер или скрита в чантата на лаптопа. Ако не е налична функция за дистанционно заключване и изтриване, системата се оказва или незащитена, или защитена само с паролата за влизане в операционната система. И в двата случая криптирането може да бъде заобиколено.

Осигурява ли криптиращото решение защита от външни носители без да се налага да са в списък с позволени устройства?

Видовете преносими твърди дискове, които служителите използват в ежедневието си, са толкова много, че е почти невъзможно за един системен администратор да верифицира всички, камо ли пък да установява политики за read, write to или access за всяко едно от тях.

Много по-лесно е да се въведе политика на ниво файлове. Този подход идентифицира конкретни файловете за криптиране и осигурява защитата им при движение между устройства, мрежи и носители.

С други думи:

• Ако включите лична флашка, програмата няма да ви принуди да криптирате личната си информация

Но:

• Ако прехвърлите данни от работния компютър на USB носител, те ще останат криптирани
• Ако нямате криптиращ ключ на флашката, данните ще останат недостъпни и съответно защитени

Излишно е да споменаваме, че това избягва изцяло процеса на whitelist на отделни устройства.

Прочетете повече: Рискът от външни устройства: флашката-саботьор

Мерките за информационна сигурност не са нови. Внедряването на едно или друго решение зависи от неговата гъвкавост и лекота.

Последният въпрос, на който трябва да си отговорите е следният:

Колко ще е лесно да се внедри и използва услугата?

Ако конфигурирането на криптиращото решение налага използването на допълнителни инструменти и отнема часове, или не дай си Боже, дни, тогава може би не си заслужава. Потърсете решение, което е лесно за внедряване, не изисква задълбочена техническа експертиза и щади както човешките, така и финансовите ресурси на компанията. Ако софтуерът е лесен за използване от потребителите и същото важи за системните администратори, тогава IT-тата няма да се затормозяват излишно с изгубени данни и прочие проблеми, вследствие на служителска грешка.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:49 ч.

Малко над 301 млн. долара. Това е общата сума откупи за отключване на криптирана информация, която е платена от малки и средни предприятия на глобално ниво само през 2016 г. Данните са от проучване на анализаторската компания Datto, в което са участвали над 1,700 доставчика на IT услуги, обслужващи клиенти от буквално всички сегменти на икономиката.Основните щети от криптовирусите, обаче, не са свързани с платените откупи – а с времето, в което компаниите са били принудени да спрат дейността си. Факт, който голяма част от бизнесите разбират твърде късно – обикновено, след като заразата вече е факт. Данните на Datto показват, че в 75% от изследваните случаи ефектът от спирането на бизнесите е бил толкова висок, че буквално е заплашил съществуването на засегнатите компании.Друго проучване – на американския National Cyber Security Alliance твърди, че около 60% от бизнесите фалират до 6 месеца след осъществяването на успешен пробив в сигурността им. Средната цена за отърсването от ефектите на атаките е около 690,000 долара – ако изключим щетите върху репутацията на компанията, чиято сигурност е компрометирана.Защо малкият и среден бизнес са най-интересните цели за кибер-престъпниците (около 62% от атаките, по данни на IBM)? Защото обикновено тези компании са най-лесни – и апетитни като жертви. Хакерите крадат банкова информация, лични данни (което може да доведе и до допълнителни глоби, ако не са спазени изискванията на GDPR) на клиенти, подправят фактури и т.н., и .т.нВсички числа, споменати по-горе, са достатъчно стряскащи – но реалната картина може да бъде и още по-жестока, защото за периода 2016 – 2017 г. едва 1 от 3 атаки с криптовируси (само за пример) е била оповестена официално – срещу 1 от 4 атаки за периода 2015-2016 г.

Ето още няколко „интересни“ статистики:

• Над 50% от анкетираните компании са платили между 500 и 2000 долара за откупване на информацията си
• 99% от участващите в проучването очакват, че броят атаки с криптовируси ще се увеличава, а няма да намалява (статистиката го показва – и то не само за криптовируси – само за последната година в България са засечени над 4,000,000 уникални атаки, показват данните на ESET)
• Над 96% от малките и средни предприятия, които използват решение за бекъп и възстановяване не са усетили ефект от атаките с криптовируси, защото са възстановили информацията си навреме
• CryptoLocker остава най-разпространеното семейство криптовируси, следван от CryptoWall, Locky, WannaCry и CBT Locker
• Най-интересни за кибер престъпниците са били компаниите от секторите производство, здравеопазване, услуги и финанси
• Атаките срещу таблети и смартфони растат

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

Вече всички си дават сметка, че живеем в ерата на ransomware вирусите. Тези зловредните кодове блокират достъпа ни до информация на заразеното устройство, докато не се плати откуп. WannaCry и NoPetya (линк към статията за Petya) ни показаха, че дори и организации, които считаме за непробиваеми, като банки, болници и фармацевтични компании, са почти, ако не и също толкова уязвими на пробив в киберсигурността, колкото и обикновените потребители.

We confirm our company’s computer network was compromised today as part of global hack. Other organizations have also been affected (1 of 2)

— Merck (@Merck) June 27, 2017

Какво е Ransomware и как работи?

През май и юни тази година българска компания за информационна сигурност докладва за заплахите от криптовирусите WannaCry и Petya.

Специалистите обясняват, че вирусът WannaCry засяга само компютри с операционна система Windows, използвайки конкретна уязвимост в нея. Веднъж попаднал на твърдия диск, Ransomware вирусът криптира информацията на компютъра и я „заключва“, докато не бъде платена сумата от 300 щатски долара или еквивалента им в Bitcoin. Западни експерти твърдят, че уязвимостта е била открита от американската агенция за национална сигурност (АНС), която разработва инструменти за нерегламентиран достъп до системата под кодовото название EternalBlue. Хакери от групата Shadow Brokers успяват да откраднат инструментите от американското правителство и дори правят някои от тях безплатни за свои съмишленици.

Според Европол мащабът на заразата с вируса WannaCry е бил главозамайващ. Засегнати са 200 хиляди компютъра в над 150 държави, покосявайки бизнеси, институции и лични устройства. Самият вирус е от типа „червей“. Веднъж засегнал един компютър, червеят се размножава масово на всички останали компютри в мрежата, към която принадлежи първоизточникът. За разлика от повечето зловредни вируси, които засягат един компютър и са резултат на човешко действие като кликване върху линк или отваряне и задействане на файл, червеят не се закача за конкретна програма, разпространява се сам и е много по-заразен. Експертите от Sophos наричат червеите от семейството на Ransomware вирусите „най-страшният сред страшните“.

Как да се предпазим?

• Бъдете внимателни когато получите имейл от неизвестен източник: обръщайте внимание на подателите на имейли. Ако подателят е непознат, подходете консервативно към линкове и файловете в имейла. Най-добре не отговаряйте на имейла и се обърнете към техническо лице за съвет.
• Не отваряйте подозрителни линкове и не стартирайте съмнителни файлове: Често хакерите имитират познати за вас адреси и ви примамват да кликнете върху линкове в тялото на имейла или да свалите и отворите прикачени файлове. Ако тези файлове са с познати за вас имена, но непознати удължения (абревиатурата, която следва точката: .exe, .pdf, .doc), рискът това да е вирус, е голям. Използвайте здравия си разум и не се подавайте на любопитството си.
• Ъпдейтвайте често операционната си система: уверете се, че автоматичната система за ъпдейти на Windows е активирана. Операционната система ще ви информира, че е готова да бъде актуализирана и ще ви предупреди, ако услугата е изключена. Изгубените 10-15 минути в ъпдейт на Windows ще ви спестят часове главоболия.
• Инсталирайте и ъпдейтвайте често антивирусната си програма: уверете се, че имате инсталирана актуализирана антивирусна програма от наложените на пазара компании
• Сканирайте компютъра си и компютрите в локалната мрежа: ако имате и най-малкото съмнение, че може да сте заразен, стартирайте ръчен скан на компютъра си през интерфейса на антивирусната програма.
• Създайте копие на информацията си и я складирайте на външно устройство или в облака: обикновено копиране на най-важната ви информация върху флаш-диск или в облачни услуги като Google Drive и pCloud, е сигурен начин за взимане на превантивни мерки.

Прочетете повече: Как да се защитите от WannaCrypt?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

 

Последен ъпдейт на 28 юни 2018 в 13:53 ч.

Вторият „летен“ вирус, след WannaCry, който доби популярност тази година, като хакна  производителите на най-големите самолети, се казва Petya. Petya е червей, който атакува MBR (master boot record) на компютъра и процеса Windows Server Message Block (SMB), който е отговорен за споделянето на файлове и принтери в локалната мрежа. Словашката компания за информационна сигурност ESET съобщава, че тази Ransomware зараза започва като инфектира най-обикновен ъпдейт в популярен софтуер за счетоводство в Украйна. Вирусът се превръща в епидемия когато десетки организации и институции в страната преминават на най-новата версия на счетоводната програма M.E.Doc.

Българският партньор на ESET Centio докладва, че в България няма регистрирани случаи на вируса Petya, a 75% от заразяванията са се случили в Украйна.

С какво е различна Петя?

„Вирусът Petya е различен с това, че криптира целия твърд диск на заразения компютър, вместо конкретни файлове“, коментира експертът по киберсигурност Ондрей Кубович от ESET.

Кубович допълва, че веднъж заразил един компютър, червеят се придвижва по локалната мрежа (LAN), но също така опитва да получи достъп до системата чрез уязвимостта EternalBlue, през която поразява предшественикът му WannaCry.

И двата вируса разпращат зловредни мрежови пакети, за да се възползват от пробиви в сигурността на компютри с операционна система Windows, но те далеч не са първите от това семейство. Cerber и Locky, създадени през 2016 г., мутират бързо и заразяват често. Те са отговорни съответно за 50% и 25% от всички заразявания с Ransowmare в периода октомври 2016 г. – април 2017 г. Cerber действа като се представя за имейл, съдържащ отчет от куриерска фирма, а Locky създава свои копия с имената на често ползвани файлове на заразения компютър. Най-честият начин на заразяване е с инфектирани Word и PDF файлове, изпратени на електронната поща на жертвите.

Как да се предпазим от Ransomware?

• Бъдете внимателни когато получите имейл от неизвестен източник: обръщайте внимание на подателите на имейли. Ако подателят е непознат, подходете консервативно към линкове и файловете в имейла. Най-добре не отговаряйте на имейла и се обърнете към техническо лице за съвет.
• Не отваряйте подозрителни линкове и не стартирайте съмнителни файлове: Често хакерите имитират познати за вас адреси и ви примамват да кликнете върху линкове в тялото на имейла или да свалите и отворите прикачени файлове. Ако тези файлове са с познати за вас имена, но непознати удължения (абревиатурата, която следва точката: .exe, .pdf, .doc), рискът това да е вирус, е голям. Използвайте здравия си разум и не се подавайте на любопитството си.
• Ъпдейтвайте често операционната си система: уверете се, че автоматичната система за ъпдейти на Windows е активирана. Операционната система ще ви информира, че е готова да бъде актуализирана и ще ви предупреди, ако услугата е изключена. Изгубените 10-15 минути в ъпдейт на Windows ще ви спестят часове главоболия.
• Инсталирайте и ъпдейтвайте често антивирусната си програма: уверете се, че имате инсталирана актуализирана антивирусна програма от наложените на пазара компании като ESET и Symantec за частни и корпоративни лица и Sophos и Qualys за бизнеси и институции.
• Сканирайте компютъра си и компютрите в локалната мрежа: ако имате и най-малкото съмнение, че може да сте заразен, стартирайте ръчен скан на компютъра си през интерфейса на антивирусната програма.
• Създайте копие на информацията си и я складирайте на външно устройство или в облака: обикновено копиране на най-важната ви информация върху флаш-диск или в облачни услуги като Google Drive и pCloud, е сигурен начин за взимане на превантивни мерки.

Как да се защитите от Petya 

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.