Ransomware – czym jest i jak może dostać się do Twojej firmy? (cz. 1)

Dzisiaj jako INNOKREA opowiemy Wam czym jest ransomware, jak dostaje się do Waszych firm i co najważniejsze jakie dobre praktyki można stosować, aby zminimalizować ryzyko bycia ofiarą złośliwego oprogramowania. Jeśli jesteś zainteresowany, to zapraszamy do lektury!

Czym jest ransomware?

Ransomware to oprogramowanie, które po uzyskaniu dostępu do systemu komputerowego stara się zmusić ofiarę do zapłaty okupu. Może to następować poprzez blokadę dostępu do systemu komputerowego (zwykle szyfrowanie) i tym samym uniemożliwienie odczytu lub poprzez wykradanie danych dla danej firmy i groźbę ich upublicznienia. Strategia polegająca na kradzieży danych dobrze sprawdza się w przypadku danych wrażliwych, szczególnie gdy uderza to w wiarygodność przedsiębiorstwa np. w przypadku danych medycznych.

Pierwszy ransomware

Za pierwszy przypadek ransomware uznaje się wirusa stworzonego przez Joseph’a Popp’a, który szyfrował z pomocą kryptografii symetrycznej wszystkie foldery na dysku C. Wirus jest znany pod nazwą AIDS lub PC Cyborg Trojan. Rozprzestrzeniony został na 20 000 dyskietek do ponad 90 krajów. Na dyskietce miał znajdować się program, który na podstawie kwestionariusza potrafi przewidzieć, czy osoba jest zarażona AIDS, ale był na niej również złośliwy program działający po 90 uruchomieniach komputera. Wyświetlał on komunikat o konieczności zapłaty 189, a później 378 dolarów za odblokowanie systemu.

Rysunek 1 – PC Cyborg Trojan, wiadomość o wymaganej płatności, źródło: wikipedia.

Rysunek 2 – Inne przykłady domagania się okupu.

Jak ransomware dostaje się do firmy?

Sprawa nie jest oczywista jak haker dostaje się do firmy, ponieważ każda firma używa innego oprogramowania i jest narażona na inne rodzaje ataków. Można natomiast wyróżnić kilka sposobów, które są najbardziej popularne.

Rysunek 3 – Statystki dotyczące typów ataków do pierwszego kwartału 2021. Źródło: Coveware.

Remote Desktop Protocol, RDP to protokół pozwalający na zdalną komunikację z usługą terminala graficznego w Microsoft Windows. Usługa ta jest dostępna we wszystkich systemach operacyjnych Windows od wersji Windows 2000 za pomocą programu Pulpit Zdalny. Często występującym scenariuszem ataku z użyciem ransomware jest wynajdywanie wystawionych do Internetu komputerów z uruchomioną usługą RDP np. z użyciem Shodan’a. Jeśli dodatkowo używamy słabych haseł, lub domyślnych danych logowania to możemy w szybki sposób stać się ofiarą hakera. Zwykłe komputery użytkownika nie są narażone na taki atak, ponieważ z definicji nie są widoczne z Internetu. Najlepsze praktyki w przypadku tego protokołu mówią, że powinno się:

• nie wystawiać RDP do Internetu – można ten ruch tunelować poprzez bezpieczniejsze protokoły jak SSH lub poprzez VPN’a,
• aktualizować oprogramowanie,
• stosować odpowiednio silne hasła, uwierzytelnienie dwuskładnikowe oraz limitować maksymalną ilość możliwych prób odgadnięcia hasła do np. 5 razy.

Innym sposobem często wykorzystywanym przez przestępców są maile phishingowe. O ile filtry spamu i oprogramowanie pocztowe są w dzisiejszych czasach przeważnie skuteczne do obrony przed większością wiadomości chcących zrobić firmie krzywdę, to jednak czasem zdarzają się wiadomości, które mogą być bardzo przekonywujące dla użytkownika. To z kolei może skutkować pobraniem załącznika np. docx ze złośliwym makrem, które doprowadzi do skompromitowania systemu. Należy także uważać na wiadomości od zaufanych kontrahentów. Jeśli taka skrzynka pocztowa zostanie przejęta, to może to znacząco podnosić wiarygodność przesyłanego załącznika a tym samym ataku. Bardzo ważnym jest prawidłowe wyszkolenie pracownika, aby był w stanie odróżniać maile phisingowe od standardowych, a także wielowarstwowa ochrona – od filtrów antyspamowych po programy zwiększające bezpieczeństwo danej stacji np. EDR, HIPS czy antywirusy.

Inne ataki mogą wynikać z błędów w konfiguracji czy oprogramowaniu i tutaj nie zawsze jesteśmy w stanie się ustrzec przed atakami, ale zawsze można zminimalizować jego konsekwencje poprzez wielowarstwową ochronę, odpowiednie monitorowanie oraz stworzenie procedur reagowania na incydenty.

Co po wykorzystaniu luki?

Kiedy przestępcy dostaną się do wewnętrznej infrastruktury danej firmy rozpoczynają kolejne etapy działania mające na celu rozpoznanie infrastruktury i zadanie szkód firmie. Przebieg ataku można przedstawić w następujący sposób:

1. Przygotowanie się ze strony atakujących – jeśli atak jest celowany, to wykorzystanie białego wywiadu (OSINT) w celu pozyskania informacji o celu. Jeśli natomiast atak jest niecelowany to przestępcy korzystając z dostępnych danych podejmują próbę ataku na setki firm naraz np. poprzez kampanie phishingowe.
2. Uzyskanie kontroli nad hostem – zależnie od wybranego sposobu przestępca wykonuje to w inny sposób (exploit, phishing, błąd konfiguracji)
3. Rekonesans i eskalacja uprawnień – kiedy atakujący znajduje się w sieci wewnętrznej, to przeważnie podejmuje próbę poznania tego na co trafił poprzez inspekcję hosta do którego uzyskał dostęp, jego uprawnień oraz rekonesans sieci do której uzyskał dostęp. Jeśli uprawnienia są niewystarczające do wyrządzenia szkód może tutaj nastąpić faza próby eskalacji uprawnień i uzyskania praw administratora.
4. Pivoting – w dużych firmach po uzyskaniu dostępu do hosta hakerzy podejmują najczęściej próbę przejęcia innych usług, a szczególnie kontrolera domeny, który zarządza całą infrastrukturą w centralny sposób. Jeśli takie działanie przyniesie skutek, to istnieje możliwość dokonania niepożądanych zmian na setkach lub tysiącach komputerów jednocześnie.
5. Unieszkodliwienie backup’ów i wyprowadzenie danych – jeśli kopie zapasowe istnieją, to przestępca, aby pozostać skutecznym musi je unieszkodliwić szyfrując lub kasując. Dobrze jest więc przechowywać kopie bezpiecznie, poza normalną infrastrukturą firmy. Jeśli przestępcy uzyskali dostęp do danych wrażliwych, to często w tym miejscu następuje wyprowadzenie ich poza firmową infrastrukturę w celu szantażu.
6. Ustanowienie klucza szyfrującego – jest to klucz uzyskany generatorem losowym (nie pseudolosowym) i najczęściej nie da się go odgadnąć czy odtworzyć. Tutaj należy dodać, że zwykle korzysta się w tym miejscu zarówno z kryptografii symetrycznej jak i asymetrycznej. Kluczem symetrycznym np. z użyciem algorytmu AES szyfruje się istotne foldery czy pliki, a asymetrycznym kluczem publicznym klucz symterycznym. Jest to najlepsze rozwiązanie z punktu widzenia przestępcy, ze względu na to, że klucze symetryczne posiadają wsparcie sprzętowe i dzięki temu szyfrują szybciej niż np. klucze RSA. Dodatkowo aby pozwolić na odszyfrowanie dysku przestępca musi jedynie podać swój klucz prywatny odpowiadający temu publicznemu.
7. Wdrożenie ransomware – jeśli infrastruktura jest znana, to następuje wdrożenie szkodliwego oprogramowania. Jeśli ransomware jest wdrożony atakujacy czekają na to, aż firma odezwie się na podane przez nich dane.

Czy płacić okup?

Jest to ciężka, indywidualna decyzja dla każdej firmy. Należy mieć jednak świadomość, że czasem nawet po uiszczeniu okupu dane pozostają zaszyfrowane i nie ma żadnej gwarancji ich odzyskania. Zdarza się, że na rynku wskutek błędnej implementacji ransomware pojawia się dekryptor, który jest w stanie bez uiszczenia opłaty deszyfrować pliki. Jeśli firma posiada nieuszkodzone, izolowane kopie zapasowe to nie powinna mieć takich dylematów. Należy jednak wziąć pod uwagę, że czasem postawienie całej infrastruktury informatycznej od nowa i odzyskanie danych może trwać dni lub tygodnie. Firma Coveware w swoich najnowszych statystykach pokazuje jednak, że coraz więcej firm decyduje się nie płacić okupu i skorzystać ze swoich kopii zapasowych.

Rysunek 4 – Statystki opłacanych okupów w atakach typu ransomware. Źródło: Coveware.

Podsumowanie

Temat ransomware jest wieloaspektowy i ciężko udzielić jednoznacznej odpowiedzi jak firmy powinny sobie radzić z takimi incydentami. Za tydzień omówimy realne przykłady takich ataków i spojrzymy jak firmy na całym świecie poradziły sobie z takimi wyzwaniami. 

Źródła:

• https://www.slideshare.net/Cyburbian/aids-pccyborg-trojan-original-diskette-info
• https://www.sdxcentral.com/security/definitions/what-is-ransomware/case-study-aids-trojan-ransomware/