Sophos

Рансъмуер експлоатира наскоро разкрита ProxyShell уязвимост на Microsoft Exchange сървъри с цел хакване на корпоративни мрежи.

Това е установила компанията за киберсигурност Sophos, докато е разследвала инцидент при свой клиент, от когото е поискан откуп.

Степента на заплахата е класифицирана като „висока“. Престъпниците сканират постоянно интернет за жертви. След като ви набележат, могат да получат достъп почти незабавно и до часове да заразят мрежата ви. Следващата стъпка е получаване на администраторски достъп до домейна и изпълнение на злонамерени команди.

Препоръки:

• Актуализирайте възможно най-скоро локалния си Exchange Server; ако използвате стара версия, приоритетно мигрирайте към актуална и инсталитайте пачовете.
• Приложите защита от злонамерен софтуер за своите сървъри – престъпниците преследват точно тях, защото знаят, че те не са толкова защитени, колкото крайните точки.
• Проследявайте, документирайте и актуализирайт редовно администраторските права за достъп до сървърите ви.

Два интересни доклада на тема киберсигурност привлякоха вниманието ни през изминалите дни:

Microsoft Digital Defense Report (October 2021 edition) прави подробна дисекция на своята телеметрия и наблюдения, докато Sophos 2022 Threat Report обобщава  киберзаплахите към момента и прави прогнози за наближаващата 2022 г.

Киберпрестъпленията като бизнес

Общото в двата доклада е, че те разглеждат киберпрестъпления като услуга в престъпният свят (criminal-to-criminal market),  включваща:

• Initial Access as a Service / Brokers
• Ransomware as a Service
• Phishing as a Service

Специално внимание се обръща на развитието на престъпните картели, занимаваща се с ransomware и extortion – Conti, REvil и  др.

Не всичко е такова, каквото изглежда

Обща тема в двата доклада е и използването на dual-use инструменти, като CobaltStrike, Metasploit и mimikatz. Особено внимание се обръща на популярността на CobaltStrike сред престъпниците и на това, че лицензите за този инструмент в повечето случаи са откраднати от легитимни клиенти, използващи продукта.

Интересен аспект е увеличението на броя инцидентите с инсталиран / инжектиран  web shell. И двете компании са единодушни, че това се дължи основно на откритите слабости и атаки към MS Exchange сървъри през изминалите 6-9 месеца – ProxyLogon, ProxyShell и т.н.

Заплахите насочени към IoT и мобилни устройства/технологии също намират своето място в докладите, като прогнозите са за увеличено използване на artificial intelligence (AI) и machine learning (ML) от двете страни на барикадата.

Бъдещи тенденции

Единодушно е мнението, че Zero-Trust модел/архитектура и ZTNA  решенията са бъдещето при вече наложилият се хибриден модел на работа.

Набляга се и на факта, че човекът си остава един от най-рисковите, но и най-важни за защитата от киберзаплахи фактори.

Следването на правила помага

От изтеклата информация за това как работи една престъпна организация (Recently leaked Conti ransomware playbook)  става ясно, че киберпрестъпниците не са някакви гениални същества, които трудно могат да бъдат спрени, а дори напротив! Оказва се, че те използват изключително прости и добре известни похвати, методи и инструменти (TTPs) !

Именно това е и заключението в доклада на Microsoft – базова „хигиена“ и спазване на добри практики в  областта на сигурността биха ви защитили от 98% процента от атаките.

Същото мнение споделя и Sumedh Thakar (CEO и президент на Qualys) в интервю в Smashing Security podcast, което е и покана за годишната Qualys Security Conference на 15  -18 ноември 2021 г. (регистрацията за онлайн присъствие и обучение е напълно безплатна!)

Допълнителни ресурси

• Интервю на Kevin Magee (CSO в Microsoft Канада) относно Digital Defense доклада на Microsoft
• Video: Decrypting Cobalt Strike Traffic With Keys Extracted From Process Memory

Докладът State of Ransomware 2021 на Sophos разкрива, че средният размер на разходите, които един бизнес е нужно да направи, за да се възстанови от рансъмуер атака, са се удвоили през 2021 г. (1,85 млн. USD) спрямо 2020 г. Средният откуп е 170 хил. USD, но само 8% от организациите, които са платили, са получили обратно всичките си данни.

Проучването обхваща 5,4 хил. ИТ мениджъри в средни по размер организации в 30 държави по света.

Притеснителната възходяща тенденция по отношение на въздействието на атаките се дължи на това, че те стават все по-сложни и целенасочени, респективно възстановяването на бизнеса от тях – все по-трудно и изискващо повече финансови ресурси.

Докладът потвърждават твърдението, че когато става въпрос за рансъмуер, не си струва да плащате откуп – вероятността да върнете всичките си данни е много малка.

Важно е да знаете:

1. Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите
2. Mожете да потърсите помощ: На българския пазар вече съществуват добре утвърдени имена, които предлагат поддръжка, наблюдение и реагиране при инциденти, 24/7, под формата на външни оперативни центрове за сигурност (Security Operations Center – SOC)

Exim пусна актуализация на защитата за отстраняване на множество уязвимости във версиите си преди 4.94.2.

Exim е популрен мейл сървър, достъпен за големи Unix-подобни операционни системи и се предлага предварително инсталиран на Linux дистрибуции като Debian. Според скорошно проучване, около 60% от интернет сървърите работят на Exim.

Още през есента на 2020 г. изследователите Qualys откриха множество критични уязвимости в мейл сървъра. Някои от тях, свързани заедно, могат да позволят дистанционно изпълнение на код и да предоставят root права на недоброжелатели.

Препоръчително е да приложите корекции за тези уязвимости възможно най-скоро.

Пандемията създаде нови интернет тенденции, сред които и селфитата на работещите отдалечено хора: Много служители правят снимки на настройките на домашния си офис или на сесии от видеоконферентни срещи и ги публикуват в профилите си в социалните мрежи.

Компанията за киберсигурност, Sophos, предупреждава, че недоброжелатели могат да се възползват от този нов „жанр“, за да откраднат ваши лични данни, с цел измама и финансова печалба.

Как е възможно това

• Етикети върху пратки, попаднали във фона на снимките, могат да разкрият домашния ви адрес
• Плакати на стената показват хобитата ви и насочват към отговори на тайните въпроси, свързани със сигурността на ваши акаунти
• Виртуални партита за рождени дни разкриват датата ви на раждане и имената на членове на семейството и близки приятели и т.н.

Освен лична информация, селфито в домашна работна среда може да доведе до изтичането на чувствителни корпоративни данни.

Препоръки

За да сте сигурни, че публикациите ви в социалните медии не излагат никакви чувствителни или лични данни, е важно:

• Да внимавате какво се вижда на заден план на вашите снимки
• Да използвате виртуален или размазан фон по време на видео разговори
• Да бъдете пестеливи и внимателни при използването на хаштагове, свързани с отдалечената работа

Втора значима нова тактика в разпространението и прикриването на криптовируси (ransomware) от началото на 2020 г. налагат създателите на RagnarLocker. Те използват Oracle VirtualBox със заредена виртуална машина Windows XP, за да скрият своето присъствие от наличния антивирусен софтуер.

С инсталирането на Oracle VirtualBox, авторите на зловредния код стартират виртуална машина на инфектираните компютри. Така криптовирусът се изпълнява в „защитена, контролирана среда“, която е извън обсега на антивирусния софтуер, работещ върху физическата (хост) машина .

Прочетете още: Нов вид криптовируси: крадат и изнудват

Този интересен подход бе забелязан и подробно описан от британската фирма за киберсигурност Sophos и показва креативността и големите усилия, на които са способни хакерските групи, за да останат незабелязани, докато инфектират своята жертва.

Какво е RagnarLocker?

Идеята зад прикриване на присъствието е от критично значение за RagnarLocker. Те не са просто типичната хакерска групировка, която криптира всеки и каквото им попадне. Те внимателно подбират своите жертви, като избягват крайни потребители и се целят единствено в корпоративни и държавни организации.

Според Sophos, основните техники за подбор на жертвите от страна на RagnarLocker са се състояли в компрометиране на отворен RDP порт на ниво работна станция и компрометиране на инструменти, използвани от MSP (Managed Service Providers). По този начин хакерите си осигуряват достъп до вътрешните мрежи и ресурси на засегнатата компания.

Веднъж придобила достъп до вътрешната мрежа, групировката пуска конкретна версия на своя криптовирус. Тя варира и е специфична за всяка една жертва. След заразата, RagnarLocker изискват огромна сума за декриптирането на информацията в размер на десетки или стотици хиляди американски долари.

Тъй като всяка една от тези внимателно планирани атаки представлява шанс за спечелване на огромна суми пари, RagnarLocker основно залагат на оставането им под прикритие в засегнатите мрежи. Това е и причината за създаването на този хитър „фокус“, чрез който да избегнат засичането от антивирусен софтуер.

Магията с виртуалната машина

Т.нар. „фокус“ всъщност е много прост, но, същевременно, хитър подход.

Вместо да стартират криптовируса директно на компютъра-жертва, от RagnarLocker свалят и инсталират Oracle VirtualBox, широкоразпространен софтуер за виртуализация.

Те конфигурират виртуалната машина, като ѝ задават пълен достъп до всички локални и споделени папки и локации и по този начин ѝ осигуряват права за манипулиране на файлове, които се съхраняват извън нейния локален диск.

Следващата стъпка се състои в стартиране на виртуалната машина, като за целта се стартира орязана версия на Windows XP SP3, наречена MicroXP v0.82.

Последната фаза на атаката е да се зареди криптовируса във виртуалната машина и да се изпълни. Тъй като кодът работи в самата виртуална машина, антивирусният софтуер няма да открие злонамерения процес.

От гледна точка на антивирусния софтуер, файловете намиращи се на локалната файлова система, както и тези на споделените папки, изведнъж ще бъдат подменени с техните криптирани версии, а всички модификации на тези файлове ще идват от легитимен процес – а именно програмата VirtualBox.

За повече информация препоръчваме да прочетете детайлния репорт на Sophos, който освен криптовируса RagnarLocker, разглежда и техниката с виртуалната машина.

Приключващата 2018 г. ще бъде запомнена като годината на таргетираните кибератаки с рансъмуер. Ако преди няколко години престъпниците залагаха на масирани рансъмуер кампании, насочени към стотици хиляди потребителите, днес те предпочитат да атакуват отделни организации.

Тази тактика се отплаща. Всъщност това е най-печелившата форма на компютърно престъпление според доклад на английската компания за киберсигурност Sophos. Тя дава за пример SamSam – опостушителен рансъмуер, който през първата половина на 2018 г. парализира дейността на няколко държавни институции в САЩ.

Печалби за милиони

Авторите на SamSam са спечелили поне 6.5 млн. долара от началото на 2016 г. досега, показват данните на Sophos. Но което е по-важно: те създадоха нов доходоносен модел на компютърно престъпление, който вече се копира и от други престъпници.

Повечето видове рансъмуер искат като откуп суми между няколкостотин и хиляда долара. От появата си през 2016 г. SamSam вдигна мизата и  започна да иска между 10 и 50 хил. долара. Атакувайки слабозащитени машини и получавайки през тях достъп до цялата мрежа на организацията, престъпниците правят така, че жертвите да са склонни да си платят. „Атаката е толкова сериозна, че голяма част от жертвите предпочитат да платят откупа“, коментират от Sophos.

Този модел бързо се разпространи. Хакерите започнаха да атакуват конкретни институции срещу петцифрени и дори шестцифрени суми. Авторите на рансъмуера BitPaymer например искат суми от 50 хил. долара до 1 млн. долара. Заразените с Ruyk институции получават искане за суми от порядъка на 100 хил. долара.

Слабите места са навсякъде

Някога защитата от вируси беше сравнително проста. Достатъчно беше антивирусната програма да засече зловреден инсталационен файл и да му попречи да се инсталира или разпространи към други устройства в мрежата.

Сега инсталационният файл е само част от процеса на заразяване. Атаката може да започне с Word документ, прикачен в имейл. Сам по себе си документът е безобиден, но скритият в него макро скрипт сваля от интернет истинския малуер.

Някои видове рансъмуер имат функционалността на компютърни червеи. Други използват уязвимости в операционнаата система или определени софтуерни продукти.

Подобна сложност на атаките изисква комплексно решение за сигурност. То включва в себе си не само антивирусен софтуер, но и решение за политики за сигурност. С него могат да се налагат права и ограничения на всички устройства в мрежата, за да се намали риска от заразяване.

Вектор на атака са и слабозащитените устройства, използващи Remote Desktop Protocol (RDP). Хакерите ги откриват, получават достъп до тях, а така и до цялата мрежа на организацията. Успехът им се дължи основно на факта, че самите организации не защитават добре сървърите си. Достъпът до тях става с лесни за отгатване пароли, а допълнителни защитни мерки като многофакторна автентикация се използват рядко.

Всичко това показва, че бизнесът все още не е подготвен да се справи с таргетирани рансъмуер атаки. Превенцията изисква инвестиции в решения за сигурност, но преди всичко осъзнаване на мащабите на проблема. Докато това не се случи, престъпниците ще продължават да правят пари на гърба на чуждото нехайство.