ransomware - I
Transkrypt
ransomware - I
RANSOMWARE Słowo, które obecnie jest bardzo często wymieniane zarówno przez specjalistów od bezpieczeństwa, jak i zwykłych użytkowników. Można powiedzieć, że jest najbardziej dolegliwym rodzajem malware, które przynosi ogromne zyski przestępcom i stanowi potężne, wciąż rozwijające się zagrożenie dla użytkowników. Używając definicji FBI można powiedzieć, że ransomware to rodzaj złośliwego oprogramowania zaprojektowanego do blokowania dostępu do systemu komputerowego, zanim nie zostanie zapłacony okup. Okup najczęściej w formie Bitcoinów lub w kodach serwisów przedpłaconych. Rozszerzając tą definicję w kontekście historycznym należy dodać, że pierwsze przypadki ransomware rzeczywiście blokowały dostęp do komputera i wyświetlały komunikaty z żądaniem zapłaty okupu. I tak mogłoby zostać do dziś. Ale niestety zagrożenie ewoluowało i pojawiły się programy szyfrujące pliki, a potem pliki na urządzeniach zewnętrznych. Zaczęły się pojawiać coraz większe kwoty żądane za uwolnienie komputerów. Są znane przypadki, że przestępcy stworzyli własne hotline, gdzie osoba poszkodowana może reklamować usługę (nie wszystkie pliki zostały odszyfrowane), skarżyć się, że okup jest za duży (notowane były przypadki obniżenia okupu). Celem naszego pisma jest rozwijanie kultury bezpieczeństwa. W pierwszym numerze chcemy przybliżyć Czytelnikom zjawisko ransomware z uwagi na wielką szkodliwość tego zagrożenia i jego szybką zmianę. Różne wersje ransomware coraz częściej atakują też w Polsce. Wiadomo o urzędzie samorządowym, dużym ubezpieczycielu, sklepach internetowych czy zakładach opieki medycznej, trudno mówić o skali ataków na osoby prywatne. Ransomware w liczbach 0,5 – 5 BTC średnia wartość okupu: 532$ maj 2016 - cena jednego BTC: 115$ cena karty podarunkowej Amazon: Okupy: 17, 000$ Hollywood Presbyterian pliki zaszyfrowane przez Locky 18, 500 MedStar Health w Maryland Sposoby rozpowszechniania: 76% spam 16% inne źródła: sklepy z aplikacjami, skompromitowane oprogramowanie, hacking 8% skompromitowane strony, kampanie (fale) dystrybucyjne, eksploit kity Rajdowe przygody - Dave Winston z Circle Sport-Leavine Family Racing słyszał o przypadkach płacenie okupu za przwrócenie dostępu do własnego komputera, ale nigdy nie brał tego poważnie. Aż do momentu, kiedy przed rajdem Nascar komputer z danymi potrzebnymi do udziału w wyścigu został zaszyfrowany i komunikat zażądał okupu. Według Winstona zebrane dane mogły mieć wartość około 2 mln dolarów i ich odtworzenie mogło zająć około 1 500 roboczogodzin. Zapłacili okup 500$ w Bitcoinach i otrzymali klucz do odszyfrowania. Nie byli w stanie samodzielnie przywrócić danych, ale przy pomocy zaprzyjaźnionej firmy IT to się udało. Obecnie starają się zwracać uwagę innym na niebezpieczeństwo związane z ransomware oraz wdrażać właściwe mechanizmy zarządzania infrastrukturą IT. „Policyjny” ransomware pomógł złapać zboczeńca - W 2013 roku 21 letni Jay Riley zobaczył komunikat o znalezieniu na jego komputerze dziecięcej pornografii i konieczności zapłacenia okupu. Wystraszył się, udał się z komputerem na policję i oddał go do badania, ze względu na wyświetlane ostrzeżenia. Po znalezieniu wielu nieprzyzwoitych wiadomości i zdjęć nieletnich dziewcząt został aresztowany i postawiono mu trzy zarzuty związane z posiadaniem pornografii. Mechanizmy rozpowszechniania Jest wiele mechanizmów rozpowszechniania, i w zasadzie trudno byłoby powiedzieć, że jest kanał dystrybucji, którego ransomware nie wykorzystuje. Podstawowym sposobem dystrybucji jest tu spam, czyli niechciana korespondencja elektroniczna, do której dołączany jest złośliwy software. Innymi sposobami mogą być metoda zatrutego wodopoju, czy metoda drive-bydownload. Wreszcie należy przypomnieć, że od 2007 roku rozwija się mechanizm kampanii czy fali dystrybucyjnej (malvertising). Niektórzy badacze twierdzą, że malvertising i ransomware są nierozdzielne. W przybliżeniu 70% kampanii dystrybucyjnych roznosi ransomware. W przypadku ataków ukierunkowanych na konkretny cel zawsze można wykorzystać grupę hakerów, którzy zainfekują wyznaczone cele. z rozszerzeniem SCR. Podłączony panel sterowania precyzyjnie monitoruje liczbę zainfekowanych PC-tów i całkowity zysk w czasie rzeczywistym. Na koniec została bardzo ciekawa grupa uniwersalnych, wieloczynnościowych narzędzi, którymi są eksploit kity. Szczególnie zasłużone na polu dystrybucji ransomware są Blackhole, Angler i Neutrino Exploit Kit. Angler EK poza roznoszeniem ransomware może wykonywać wiele innych funkcji, np. zbierać poufne dane i przesyłać na wskazany adres lub podłączyć zainfekowany komputer jako zombie do tworzonego botnetu. Zyski z ransomware Zyski wciąż rosną bo wdrożenie modelu zarabiania na ransomware jest dla cyberprzestępców stosunkowo proste. O ile jednostkowe zyski nie są duże, to biorąc pod uwagę wielkość rynku, potencjał jest ogromny. Dla każdej potencjalnej ofiary wartość jej danych jest dużo większa niż 100, 300 czy nawet 1000 dolarów. Raport FBI podaje 2 500 incydentów w 2015 roku, które kosztowały ofiary 1,6 miliona dolarów. US Departament Sprawiedliwości mówi o 24 milionach dolarów strat w tym samym roku. Ciężko stwierdzić, jaki jest rzeczywisty poziom strat, bo nie są to informacje którymi organizacje się chwalą. Rodney Joffe z firmy Neustar twierdzi, że wie o organizacjach które płaciły dziesiątki tysięcy dolarów za skradzione dane. Według niego szokujące jest jak wiele firm po cichu płaci, aby odzyskać swoje informacje. W kwietniu bieżącego roku CNBC szacowała koszty strat na około 200 milionów dolarów w pierwszym kwartale roku. A niedawno jak pod koniec ubiegłego roku Cyber Threat Alliance ogłosiła, że tylko CryptoWall v3 podczas swojej działalności doprowadził do 325 milionów $ strat na całym świecie. Płacić czy nie płacić Wielu specjalistów twierdzi, że nie powinno się płacić, bo płacąc finansuje się dalszy rozwój oprogramowania ransomware i kolejne kampanie rozpowszechniania. Sa tacy, którzy twierdzą, że należy na to spojrzeć przede wszystkim z własnego punktu widzenia, a nie patrzeć na inne opinie, zwłaszcza przedstawicieli policji. Skoro zasoby są dla nas dużo warte, to może lepiej zapłacić i mieć pliki z powrotem. Niektórzy zwracają uwagę, że po odzyskaniu komputera i dostępu do plików. komputer jest niepewny, bo nie wiadomo, co w nim zostało zainstalowane, nie wiadomo, co jest ukryte w naszych - odzyskanych plikach. Zawsze jest też ryzyko, że mimo opłaty, i otrzymania kodu deszyfrującego danych nie uda się odzyskać. Z drugiej strony grupy przestępcze „dbają” o swoje ofiary i starają się pomagać w odzyskaniu danych, jeśli okup został zapłacony. Cały model działania przestępców wzorowany jest na działaniach biznesowych, stąd dbałośćo”klienta”. Ransomware as a service (RaaS) Ransomware - zrób to sam Tox był jednym z pierwszych zestawów RaaS (ransomware as a service. Żeby stworzyć taki własny malware trzeba się zarejestrować na specjalnie przygotowanej stronie w sieci Tor. Proces tworzenia jest trójetapowy. Trzeba wybrać kwotę okupu, tekst komunikatu dla ofiary i typ kodu weryfikacyjnego. Usługa tworzy plik wykonywalny ukryty w 2MB pliku Jak wygląda taki sposób działania? W grupie przestępczej działającej według modelu RaaS – co oczywiste - jest szef i pracownicy odpowiedzialni za dystrybucję oprogramowania. Grupa nie korzysta z infrastruktury CAC. Kiedy członkowie grupy z sukcesem rozprowadzą oprogramowanie, szef komunikuje się z ofiarami poprzez pocztę elektroniczną, zbiera i sprawdza płatności, wysyła klucze odszyfrowujące i przekazuje część okupu do członków. Boss zatrzymuje 60% okupu, a resztę przekazuje pracownikom. Podobny mechanizm jak opisany powyżej był zastosowany w kampaniach rozprowadzających malware GinX i Ranstone. Szef grupy miesięcznie zarabia na tego typu procederze około 7,500$, a zwykły członek około 600$, przy czym przeciętna kwota okupu na ofiarę Manamecrypt - ransomware, który działa trochę inaczej. Nie tylko szyfruje pliki, ale blokuje działanie pewnych aplikacji Historia ransomware 1989 - AIDS trojan stworzony przez biologa Józefa Poppa, dystrybuowany przez zarażone dyskietki; 2005 - SpySheriff – fałszywe narzędzie do usuwania spamu; złośliwe narzędzia do optymalizacji działania systemu Performance Optimizer, Registry Care – opierając się o socjotechnikę wzbudzały strach u użytkowników i nakłaniały do zakupu licencji na oprogramowanie, które w rzeczywistości nic nie robiło; 2006 - Gpcoder protoplasta późniejszych szyfrujących ransomware. Gpcoder używał słabej kryptografii symetrycznej i był łatwy do odszyfrowania; 2008 - pierwszy ransomware blokujący komputer – Ransom.C. Atakował komputery z systemem operacyjnym Windows. Pod koniec jego działalności okup za uwolnienie komputera sięgał nawet 150-200$; 2012 - szczególnie popularny w krajach Europy Wschodniej blokujących ransomware, który wyświetlał komunikaty w zależności od kraju, w którym operował, że na komputerze znaleziono pornografie, nielegalne pliki itp. Na ekranie był wyświetlany komunikat Policji, FBI, różnych instytucji związanych z przestrzeganiem prawa. Żądał zapłaty w bonach Ukash; 2013 - powrót do szyfrujących ransomware, ale z użyciem mocnych kluczy: RSA, 3-DES, czy AES; 2016 - od stycznia do końca maja 50 nowych rodzin ransomware. wynosi 300$. W ciągu miesiąca grupa ma około 30 płatności, a w grupie jest przeważnie 10-15 członków. Sposób rozpowszechniania, sposób szyfrowania i blokowanie programów odróżniają go od innych ransomware. Manacrypt kopiuje dane, które ma zamiar szyfrować do pliku z rozszerzeniem .RAR i szyfruje jako archiwum z hasłem. Oryginalne pliki zostają usunięte. Rady dla zwykłego użytkownika 1. Podstawowe najlepsze i najbardziej podstawowe zabezpieczenie to regularne tworzenie kopii zapasowych. Jeśli dojdzie do zaszyfrowania plików utracone zostaną te, które zostały utworzone po zapisaniu ostatniej kopii zapasowej. W przypadku robienia kopii należy pamiętać, aby były one robione na niezależnym systemie. Dlaczego? Dlatego, że ransomware szyfrując zasoby dostanie się także do zamontowanych dysków i udziałów sieciowych i zaszyfruje też backupy. 2. Odpowiednia konfiguracja systemu operacyjnego. Bieżąca konserwacja systemu i instalowanie poprawek. Włączenie pokazywania rozszerzeń znanych plików i kopii shadow. 3. Zainstalowanie programów zwalnia z ostrożności. antymalware nie 4. Unikanie otwierania plików z nieznanych źródeł. Rady dla administratorów systemów Podobnie jak w przypadku użytkowników indywidualnych podstawa to regularny backup. Jest to może nie tyle zabezpieczenie, co ochrona w przypadku, gdy nie będzie dostępu do zasobów, i trzeba będzie stawiać infrastrukturę od nowa. Stworzenie przemyślanego schematu uprawnień użytkowników. Ransomware może szyfrować tylko te pliki, do których użytkownik ma uprawnienia. Użytkownik nie może mieć uprawnień do logowania się na prawach administratora, bo może to doprowadzić do tragedii. Zaprojektować i zaimplementować odpowiednią segmentację sieci komputerowej: oddzielić serwery od stacji roboczych, ustawić strefę DMZ, właściwie skonfigurować zasady ruchu i komunikacji wewnętrznej. Wdrożyć mechanizmy whitelistingu. Monitorowanie operacji na plikach pozwala na wczesne wykrycie ataku. Bardzo często za przenoszenie ransomware odpowiedzialny jest Adobe Flash. Zablokowanie plików Flasha na serwerze web proxy, czy firewallu może ograniczyć infekcję. Szkolenie użytkowników dotyczące przestrzegania kultury bezpieczeństwa, realizacji zapisów polityki bezpieczeństwa. Takie szkolenia powinny nie tyle przekazywać wiedzę, ale wyrabiać nawyki właściwego zachowania się w konkretnych sytuacjach zagrożenia i systematycznie je utrwalać, oczywiście na podstawie wiedzy o aktualnych zagrożeniach i możliwościach obrony. Oferta I-BS.pl W ramach oferty szkoleniowej proponujemy nowe szkolenia związane z budowaniem kultury bezpieczeństwa informacji. Dotyczą one nie tyle wiedzy o obecnych zagrożeniach w cyberprzestrzeni, ale też wyszkolenia umiejętności zachowania się wobec tych zagrożeń w codziennej pracy. Inne oferowania szkolenia dotyczą właściwych sposobów archiwizacji danych i zapewnienia ciągłości działania. Oferujemy również usługi związane z zaprojektowaniem bezpiecznego obiegu informacji w Państwa organizacji, tj. stworzenie schematu uprawnień i zarządzania dostępem do informacji, dopasowaniem do tego infrastruktury sieciowej, wdrożeniem segmentacji sieci i backupu danych. Ponadto I-BS.pl jest producentem oprogramowania dedykowanego dla sektora finansowego i przedsiębiorstw oraz integratorem systemów informatycznych. Dostarcza technologie i usługi oparte na rozwiązaniach Open Source klasy Enterprise. Specjalizuje się w realizacji złożonych technologicznie i organizacyjnie projektów informatycznych z wykorzystaniem innowacyjnych systemów i rozwiązań. Portfolio I-BS.pl razem z oferowanym sprzętem umożliwia budowę kompletnych i funkcjonalnych rozwiązań nawet dla najbardziej wymagających klientów. Spółka oferuje także poza rozwiązaniami integratorskim, systemy gwarantowanego zasilania włącznie z systemami zielonej energii. Dział badawczo-rozwojowy I-BS.pl w Stalowej Woli tworzy nowe technologie IT oraz rozwiązania dla rynku finansowego, przedsiębiorstw oraz rozwiązania OZE dla budownictwa niskoenergetycznego. Aplikacje oferują nowoczesne oraz funkcjonalne rozwiązania umożliwiające wydajną i efektywną pracę na bazie najnowszych i najbardziej zaawansowanych technologii dostępnych na rynku.