Παγκόσμιο συναγερμό για τους ανθρώπους της ασφάλειας, αλλά και ευρύτερα, προκαλούν οι επιθέσεις Ransomware που έχουν εκδηλωθεί τους τελευταίους 3 μήνες σε πολύ μεγάλη κλίμακα και σε πάρα πολλές χώρες. Όλες οι εταιρίες και οι επαγγελματίες που ασχολούνται με την ψηφιακή ασφάλεια βρίσκονται σε συνεχή εγρήγορση προκειμένου να αντιμετωπίσουν τη ραγδαία εξάπλωση των διαφορετικών τύπων επιθέσεων των λεγόμενων “λυτρισμικών”.
Αν θέλαμε να ιεραρχήσουμε τις ψηφιακές απειλές των τελευταίων ετών, ως προς την έκταση τους, την ταχύτητα εξάπλωσης τους, τις διάφορες παραλλαγές που εμφανίζουν, τις δυσκολίες αντιμετώπισης τους, άλλα και τις συνέπειες που προκάλεσαν σε παγκόσμια κλίμακα τους τελευταίους μήνες, τότε το φαινόμενο Ransomware διεκδικεί σε πολύ μεγάλο βαθμό την πρώτη θέση.
Οι εταιρίες που δραστηριοποιούνται στο τομέα της ασφάλειας πληροφοριών, είτε σε επίπεδο ανάπτυξης και παροχής λύσεων, είτε στην παροχή υπηρεσιών και υλοποίηση έργων, αλλά και όλοι οι επαγγελματίες που εργάζονται σε οργανισμούς και επιχειρήσεις κάθε κλίμακας και δραστηριότητας και είναι υπεύθυνοι IT γενικότερα ή υπεύθυνοι ασφάλειας πληροφοριών ειδικότερα, βρίσκονται σε μια παγκόσμια επιφυλακή για την αντιμετώπιση των Ransomware.
Το λεγόμενο και ως “Λυτρισμικό” (Rasnom = Λύτρα) – αποτυπώνοντας με αυτόν τον όρο την “αξίωση” των κυβερνοεγκληματιών για καταβολή λύτρων από όσους πέφτουν θύματα – είναι αυτή τη στιγμή η αναμφισβήτητα η νο1 πρόκληση για την παγκόσμια κοινότητας της ψηφιακής ασφάλειας. Σχεδόν όλοι πλέον γνωρίζουν το φαινόμενο Ransomware, ως ένα κακόβουλο λογισμικό το οποίο εξαπλώνεται στα συστήματα ηλεκτρονικών υπολογιστών και έχει τη δυνατότητα να μπλοκάρει τη πρόσβαση των χρηστών στα δεδομένα που είναι αποθηκευμένα σε αυτούς, κρυπτογραφώντας τα αρχεία τους ή ακόμα χειρότερα εμποδίζοντας την πλήρη χρήση του υπολογιστή τους. Στη συνέχεια, οι επιτιθέμενοι με μηνύματα τους προσπαθούν να εξαναγκάσουν τους χρήστες στην πληρωμή λύτρων, είτε σε πραγματικά χρήματα είτε κυρίως σε bitcoins, προκειμένου να επιτρέψουν, στους χρήστες να ανακτήσουν πάλι τον έλεγχο του υπολογιστή τους και να έχουν πρόσβαση στα δεδομένα τους. Φυσικά, η πληρωμή των λύτρων δεν εξασφαλίζει σε καμία περίπτωση ότι τα δεδομένα θα “απελευθερωθούν” για αυτό και οι ειδικοί του χώρου, οι εταιρίες ασφάλειας και μεγάλοι οργανισμοί όπως ο ENISA σε καμία περίπτωση δεν συνιστούν την καταβολή των λύτρων στους ηλεκτρονικούς εγκληματίες, αφού μια τέτοια ενέργεια ούτε την αποκρυπτογράφηση των αρχείων εγγυάται, ούτε εξασφαλίζει ότι το συγκεκριμένο σύστημα δεν θα ξαναμολυνθεί.
Ας δούμε λοιπόν το ιστορικό των 2 πιο πρόσφατων μεγάλων επιθέσεων με Ransomware και την προσέγγιση οργανισμών και εταιριών ψηφιακής ασφάλειας όπως προέκυψε από τις πρόσφατες αναφορές που δημοσίευσαν.
WannaCry – Το πρώτο …“αίμα”
Στα μέσα του Μαΐου εκδηλώθηκε ίσως το μεγαλύτερο κύμα επιθέσεων τύπου Ransomware, που είχε κληθεί να αντιμετωπίσει μέχρι τότε η παγκόσμια κοινότητα του τομέα της ψηφιακής ασφάλειας, με την ονομασία. Πρόκειται για το γνωστό σε όλους WannaCry, μια παγκόσμια κυβερνοεπίθεση που λέγεται ότι αξιοποίησε εργαλεία, που είχαν αναπτυχθεί από την Υπηρεσία Εθνικής Ασφάλειας (NSA) των Η.Π.Α. Το WannaCry μόλυνε χιλιάδες υπολογιστές σε πάνω από 150 χώρες, προκαλώντας μεγάλα προβλήματα μεταξύ σε εκτενή κλίμακα στο βρετανικό σύστημα υγείας, αλλά και σε πολλές επιχειρήσεις όπως την παγκόσμια εταιρεία ταχυμεταφορών FedEx. Η γαλλική αυτοκινητοβιομηχανία Renault επλήγη επίσης από το κύμα των ταυτόχρονων κυβερνοεπιθέσεων, ενώ η εταιρεία τηλεπικοινωνιών Telefonica ήταν μεταξύ των κύριων στόχων στην Ισπανία, αν και ανακοίνωσε πως η επίθεση περιορίσθηκε σε μερικούς ηλεκτρονικούς υπολογιστές σ’ ένα εσωτερικό δίκτυο και δεν επηρέασε πελάτες ή υπηρεσίες. Οι Portugal Telecom και Telefonica Argentina ανακοίνωσαν επίσης πως έγιναν αμφότερες στόχοι. Πολλά συστήματα της δημόσιας επιχείρησης των γερμανικών σιδηροδρόμων, της Deutsche Bahn, επλήγησαν από κακόβουλο λογισμικό. Η συγκεκριμένη επίθεση εξαπλώθηκε σε μεγάλο βαθμό από χρήστες που άνοιξαν μολυσμένα αρχεία που βρίσκονταν επισυναπτόμενα σε email και έμοιαζαν με τιμολόγια, προσφορές, προειδοποιήσεις ασφάλειας ή άλλους φακέλους επαγγελματικού ενδιαφέροντος. Οι επιτιθέμενοι με όπλο το WannaCry, ζητούσαν από 300 έως 600 δολάρια περίπου ως λύτρα μέσω ψηφιακού νομίσματος bitcoin.
Σε δηλώσεις του στο ΑΠΕ-ΜΠΕ, με αφορμή την εξάπλωση του WannaCry στα μέσα Μαΐου, ο Διευθυντής του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), κ. Πάουλο Εμπαντίνιας (Paulo Empadinhas) αξιολόγησε ως πολύ σοβαρή την κατάσταση και για αυτό όπως δήλωσε δημιουργήθηκε μια ειδική ομάδα εργασίας που ενημέρωνε την Ευρωπαϊκή Επιτροπή σχετικά με την εξέλιξη των επιθέσεων. Επίσης ανέφερε, ότι η παραλλαγή του λυτρισμικού WannaCry που εντοπίστηκε την Παρασκευή 12 Μαΐου 2017 και εξαπλώθηκε παγκοσμίως μέσα σε λίγες ώρες βασίστηκε σε μια ευπάθεια στο πρωτόκολλο Server Message Block (SMB) που χρησιμοποιείται από τους υπολογιστές για να παρέχει πρόσβαση σε κοινόχρηστους δίσκους και εκτυπωτές. Οι επιθέσεις, εκδηλώθηκαν με επιτυχία όταν οι χρήστες άνοιγαν μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένο αρχείο που περιέχει το κακόβουλο λογισμικό. Άλλες μέθοδοι εκδήλωσης της επίθεσης, σχετίζονταν με την επίσκεψη σε έναν «ύποπτο» ιστότοπο, όπου η ενεργοποίηση ενός συνδέσμου οδήγησε στη λήψη του κακόβουλου λογισμικού απευθείας στον ηλεκτρονικό υπολογιστή του χρήστη. Φυσικά, μεγάλος στόχος των επιθέσεων ήταν όπως πάντα μεγάλοι οργανισμοί και επιχειρήσεις που έπεσαν θύματα επειδή δεν είχαν προχωρήσει στην ενημέρωση των λειτουργικών τους συστημάτων που διόρθωναν τις όποιες ευπάθειες υπήρχαν.
Σύμφωνα, με τη SophosLabs, το RansomWare που έγινε γνωστό και με τις ονομασίες WannaCry, WCry, WannaCrypt, WanaCrypt και WanaCryptor- κρυπτογράφησε τα αρχεία των θυμάτων του και άλλαξε τις επεκτάσεις τους σε .wnry, .wcry, .wncry, .wncrypt. H Sophos προστάτευσε τους πελάτες της από την απειλή, την οποία ανίχνευσε ως Troj/Ransom-EMG, Mal/Wanna-A, Troj/Wanna-C και Troj/Wanna-D ενώ οι πελάτες της Sophos που χρησιμοποιούν το Intercept X είδαν το ransomware να μπλοκάρεται από τον CryptoGuard. Από την ώρα που η Sophos δημοσίευσε ένα σχετικό άρθρο, η Microsoft έλαβε δραστικά μέτρα, καθιστώντας μία ενημέρωση ασφαλείας διαθέσιμη για όλους ακόμα και για τις μη-υποστηριζόμενες πλατφόρμες της, όπως για τα Windows XP. Η επίθεση θα μπορούσε πάντως να είναι ακόμα χειρότερη, αν ένας ερευνητής που χρησιμοποιεί τον λογαριασμό @MalwareTechBlog δεν έκανε μία τυχαία ανακάλυψη. Πιο συγκεκριμένα βρήκε έναν “διακόπτη απενεργοποίησης” κρυμμένο στο κακόβουλο λογισμικό. Ο ερευνητής δημοσίευσε τα ευρήματα του και σε σχετική ανάρτηση του, έγραψε: Ένα πράγμα που είναι πολύ σπουδαίο να σημειωθεί είναι ότι το sinkholing μας σταματάει μόνο το συγκεκριμένο δείγμα και πως τίποτα δεν μπορεί να σταματήσει τους επιτήδειους από το να αφαιρέσουν τον έλεγχο του domain και να ξαναδοκιμάσουν να επιτεθούν, οπότε είναι εξαιρετικά σπουδαίο ότι στα ευάλωτα συστήματα να εγκατασταθεί το patch το συντομότερο δυνατό”.
To συγκεκριμένο Ransomware που όπως αναφέρθηκε εξαπλώθηκε εκμεταλλευόμενο μια ευπάθεια των Microsoft Windows σε υπολογιστές χωρίς patches, ονομάστηκε από την ESET ως «WannaCryptor», ωστόσο εναλλακτικά του «WannaCry» και «Wcrypt». Σε αντίθεση με τα περισσότερα κακόβουλα λογισμικά κρυπτογράφησης, το WannaCryptor διαθέτει ιδιότητες τύπου worm, που του επιτρέπουν να εξαπλωθεί από μόνο του. H ESET, που ανίχνευσε το Ransomware Win32/Filecoder.WannaCryptor.D κατάφερε να μπλοκάρει το ίδιο καθώς και τις παραλλαγές του και συνέστησε σε οικιακούς και εταιρικούς χρήστες κάποια βήματα για να παραμείνουν προστατευμένοι από το WannaCryptor ή από άλλο ransomware/malware όπως : την εγκατάσταση μίας λύσης Anti-Malware, την αναβάθμισης του λογισμικού ασφάλειας στις πρόσφατες εκδόσεις και την ενημέρωση των βάσεων αναγνώρισης των ιών. Φυσικά προτρέπει τους χρήστες να μην ανοίγουν
συνημμένα σε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Ειδικά οι εταιρικοί χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί στις περιπτώσεις που εργάζονται ή συνεργάζονται με τμήματα που λαμβάνουν συχνά email από εξωτερικές πηγές – για παράδειγμα οικονομικά τμήματα ή ανθρώπινου δυναμικού. Η δημιουργία τακτικών αντιγράφων ασφάλειας των δεδομένων είναι επίσης σημαντική μιας και σε περίπτωση μόλυνσης, αυτό θα βοηθήσει στην ανάκτηση των δεδομένων. Ενώ παράλληλα η ESET προτρέπει να μην αφήνουμε
συνδεδεμένο στον υπολογιστή το εξωτερικό αποθηκευτικό μέσο που χρησιμοποιείται για αντίγραφα ασφαλείας, για να αποτρέψουμε τον κίνδυνο μόλυνσής του. Επίσης η ESET ανακοίνωσε τη διάθεση δύο χρήσιμων εργαλείων για την καταπολέμηση των κρουσμάτων από τις πρόσφατες επιθέσεις ransomware, συμπεριλαμβανομένου του WannaCry (WannaCryptor) καθώς και μίας παραλλαγής του διαβόητου ransomware Crysis ransomware, που ευθύνεται για την προσθήκη των επεκτάσεων .wallet και .onion στα αρχεία που μολύνει. Το πρώτο εργαλείο – EternalBlue Vulnerability Checker, εξετάζει αν τα Windows διαθέτουν τα κατάλληλα patch ώστε να μην μολυνθούν από το exploit EternalBlue, το οποίο βρίσκεται πίσω από την πρόσφατη εκστρατεία εξάπλωσης του ransomware WannaCry και εξακολουθεί να χρησιμοποιείται για την εξάπλωση λογισμικού που στοχεύει σε εξόρυξη κρυπτονομίσματων (cryptocurrency) και άλλων κακόβουλων προγραμμάτων.
Η λειτουργία ανίχνευσης του EternalBlue exploit (CVE-2017-0144) είχε προστεθεί από τις 25 Απριλίου στην πλατφόρμα της ESET, πριν το ξέσπασμα του WannaCry.
Το δεύτερο εργαλείο που διαθέτει η ESET είναι ένα ransomware decryptor για τους χρήστες που έχουν πέσει θύματα μιας παραλλαγής του ransomware Crysis, η οποία χρησιμοποιεί τις επεκτάσεις .wallet και .onion στα κρυπτογραφημένα αρχεία. Τα κλειδιά δημοσιεύθηκαν στις 18 Μαΐου από τα φόρουμ του BleepingComputer.com.
Και τα δύο εργαλεία διατίθενται δωρεάν στη σελίδα της ESET.
Σύμφωνα με την BitDefender σε μόλις 24 ώρες, ο αριθμός των περιστατικών από το WannaCry ξεπέρασε τις 185.000 μηχανές σε περισσότερες από 100 χώρες.
Η επίθεση κρίθηκε ιδιαίτερα επικίνδυνη για τις επιχειρήσεις, επειδή χρειάζονταν ένας μόνο υπάλληλος να μολυνθεί για να εξαπλωθεί η επίθεση σε ολόκληρο το δίκτυο και μερικές φορές ακόμη και σε άλλες χώρες σε άλλες θυγατρικές, χωρίς καμία άλλη αλληλεπίδραση μεταξύ των χρηστών. Αυτό συμβαίνει επειδή το συγκεκριμένο ransomware είναι ένα worm που αξιοποιεί μια πρόσφατα εντοπισμένη ευπάθεια, επηρεάζοντας ένα ευρύ φάσμα λειτουργικών συστημάτων των Windows, συμπεριλαμβανομένων των 2008, 2008 R2, 7, 7 SP1. Το WannaCry αυτοματοποίησε την εκμετάλλευση μιας ευπάθειας που υπάρχει στις περισσότερες εκδόσεις των Windows επιτρέποντας σε έναν απομακρυσμένο εισβολέα να εκτελεί κώδικα στον ευάλωτο υπολογιστή και να χρησιμοποιεί αυτόν τον κώδικα για να φυτέψει ransomware και να το εκτελέσει αυτόματα χωρίς να χρειαστεί κάποια ενέργεια από τον χρήστη. Αυτή η πρωτόγνωρη συμπεριφορά, το καθιστά το τέλειο εργαλείο για επίθεση σε συγκεκριμένα περιβάλλοντα ή υποδομές, όπως servers που εκτελούν μια ευάλωτη έκδοση του Server Message Block (SMB protocol). Τα endpoints που είχαν εγκατεστημένα το Bitdefender GravityZone όπως αναφέρθηκε στο δελτίο της εταιρίας, προστατεύτηκαν από το ξεκίνημα αυτού του κύματος επίθεσης και δεν επηρεάστηκαν από αυτή τη νέα έκδοση ransomware καθώς τα προϊόντα μας ανιχνεύουν και παρεμποδίζουν τόσο τον μηχανισμό παράδοσης του, όσο και όλες τις γνωστές παραλλαγές του WannaCry
Τη Δευτέρα 15 Μαΐου, ένας ερευνητής ασφάλειας της Google δημοσίευσε ένα artifact στο Twitter που ενδεχομένως δείχνει μια σύνδεση μεταξύ των επιθέσεων ransomware του WannaCry και του κακόβουλου λογισμικού που αποδόθηκε στη διαβόητη ομάδα χάκερ Lazarus, υπεύθυνη για μια σειρά καταστροφικών επιθέσεων εναντίον κυβερνητικών οργανισμών, μέσων ενημέρωσης και χρηματοπιστωτικών ιδρυμάτων. Στις μεγαλύτερες επιχειρήσεις που συνδέονται με την ομάδα Lazarus περιλαμβάνονται: οι επιθέσεις εναντίον της Sony Pictures το 2014, η ψηφιακή ληστεία της Κεντρικής Τράπεζας του Μπαγκλαντές το 2016 και μια σειρά παρόμοιων επιθέσεων που συνεχίστηκαν το 2017. Ο ερευνητής της Google επεσήμανε ένα δείγμα κακόβουλου λογισμικού του WannaCry, το οποίο εμφανίστηκε ελεύθερο στο Διαδίκτυο το Φεβρουάριο του 2017, δύο μήνες πριν από το πρόσφατο κύμα επιθέσεων. Οι ερευνητές της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab ανέλυσαν αυτές τις πληροφορίες, αναγνώρισαν και επιβεβαίωσαν σαφείς ομοιότητες στον κώδικα του δείγματος κακόβουλου λογισμικού που επισημάνθηκε από τον ερευνητή της Google και των δειγμάτων κακόβουλου λογισμικού που χρησιμοποίησε η ομάδα Lazarus στις επιθέσεις του 2015.
Σύμφωνα με τους ερευνητές της Kaspersky Lab, η ομοιότητα φυσικά θα μπορούσε να είναι ένα false flag. Ωστόσο, η ανάλυση του δείγματος του Φεβρουαρίου και η σύγκριση με τα δείγματα του WannaCry που χρησιμοποιήθηκαν στις πρόσφατες επιθέσεις δείχνουν ότι ο κώδικας που υποδεικνύει την ομάδα Lazarus αφαιρέθηκε από το κακόβουλο λογισμικό WannaCry που χρησιμοποιήθηκε στις επιθέσεις που ξεκίνησαν την περασμένη Παρασκευή. Αυτή μπορεί να είναι μια προσπάθεια κάλυψης ιχνών των διαχειριστών της εκστρατείας WannaCry. Αν και αυτή η ομοιότητα από μόνη της δεν επιτρέπει την απόδειξη μιας ισχυρής σχέσης μεταξύ του ransomware WannaCry και της ομάδας Lazarus, μπορεί μελλοντικά να οδηγήσει σε νέες αποδείξεις που θα ρίξουν φως στην προέλευση του WannaCry, η οποία μέχρι στιγμής παραμένει μυστήριο. Επίσης οι ερευνητές της Kaspersky Lab ανέλυσαν τον κώδικα του ransomware προγράμματος WannaCry και ως αποτέλεσμα, έχουν καταλήξει στο συμπέρασμα ότι οι δημιουργοί αυτού του κακόβουλου λογισμικού έχουν κάνει πολλά λάθη στον κώδικα, τα οποία καθιστούν δυνατή την ανάκτηση αρχείων που επηρεάζονται από το κακόβουλο λογισμικό. Τα περισσότερα από τα λάθη καθιστούν δυνατή την αποκατάσταση αρχείων με τη βοήθεια διαθέσιμων στο κοινό εργαλείων λογισμικού. Σε μια περίπτωση, το σφάλμα στο μηχανισμό επεξεργασίας read-only αρχείων του κακόβουλου λογισμικού δεν του επιτρέπει να κρυπτογραφεί καθόλου read-only αρχεία. Αντίθετα, το κακόβουλο λογισμικό δημιουργεί κρυπτογραφημένα αντίγραφα των αρχείων, ενώ τα αρχικά αρχεία παραμένουν ανέγγιχτα, δίνοντάς τους μόνο έναν «κρυφό» χαρακτήρα, ο οποίος είναι εύκολο να αναιρεθεί. Το κακόβουλο λογισμικό αποτυγχάνει απλώς να διαγράψει τα πρωτότυπα αρχεία.
«Το έχουμε δει να συμβαίνει και κατά το παρελθόν: οι δημιουργοί ransomware προγραμμάτων συχνά κάνουν σοβαρά λάθη που επιτρέπουν στον κλάδο ασφάλειας να ανακτήσει με επιτυχία τα αρχεία που έχουν προσβληθεί. Το WannaCry – τουλάχιστον η πρώτη και πιο διαδεδομένη έκδοση αυτής της οικογένειας ransomware – είναι ακριβώς αυτό το είδος κακόβουλου λογισμικού. Αν έχετε «μολυνθεί» με το ransomware WannaCry, υπάρχει μια καλή πιθανότητα να μπορέσετε να επαναφέρετε πολλά από τα αρχεία στον υπολογιστή σας. Συμβουλεύουμε τους οικιακούς χρήστες αλλά και τους οργανισμούς να χρησιμοποιούν τα βοηθητικά προγράμματα αποκατάστασης αρχείων στα μηχανήματα που έχουν προσβληθεί από το ransomware στο δίκτυό τους», δήλωσε ο Anton Ivanov, ερευνητής ασφαλείας της Kaspersky Lab.
Σε δελτίο που εξέδωσε η Panda Security για το WannaCry επισήμανε ότι ένας νέος ερευνητής από την Αγγλία ανακάλυψε το “διακόπτη κλεισίματος” του ransomware και κατάφερε να αποτρέψει ολοκληρωτικά την περαιτέρω εξάπλωση του κακόβουλου λογισμικού. Οι ειδικοί αναφέρουν ότι αυτό αποτέλεσε μια προσωρινή λύση και εκατοντάδες χιλιάδες συστήματα παραμένουν ευάλωτα καθώς πολλοί χρήστες και επιχειρήσεις απλώς δεν ενημερώνουν τα συστήματά τους ή δεν έχουν εγκατεστημένη κάποια λύση antivirus. Η εταιρία προτρέπει όλους να ενημερώνουν το λειτουργικό του σύστημα μιας και ο λόγος για τον οποίο η Microsoft βγάζει τις ενημερώσεις είναι για να κάνει το εκάστοτε σύστημά καλύτερο και ασφαλέστερο. Επίσης υπογραμμίζει ότι ο μόνος τρόπος που για την επανάκτηση των αρχείων χωρίς να χρειαστεί να ενδώσουμε σε πληρωμή λύτρων είναι μέσω συχνής διατήρησης αντιγράφων ασφαλείας των δεδομένων.
Petya ή NotPetya … και ο “πόλεμος” συνεχίζεται και εντείνεται
Στα τέλη Ιουνίου, εκδηλώθηκε ένα νέο μαζικότατο κύμα επιθέσεων ransomware που προκάλεσε χάος μεταξύ άλλων σε κρίσιμες υποδομές, όπως αεροδρόμια, τράπεζες, κρατικούς οργανισμούς και επιχειρήσεις σε ολόκληρη την Ευρώπη. Πρόκειται για το Petya (ή NotPetya), μια νέα μορφή ransomware που χρησιμοποιεί το EternalBlue για να διεισδύσει σε υπολογιστές Windows, ομοίως με το WannaCry.
Θύματα έπεσαν η κεντρική τράπεζα της Ουκρανίας, το τοπικό μετρό και το αεροδρόμιο Boryspil του Κιέβου καθώς και πολλές άλλες εταιρίες στην Ουκρανία όπως και συστήματα του πυρηνικο σταθμού του Τσερνόμπιλ. Υπήρξαν αναφορές για επιθέσεις στην Γερμανία, την Πολωνία, την Σερβία, την Ρωσία και την Ελλάδα.
Η βασική διαφορά των δύο πρόσφατων τύπων Ransomware, είναι ότι ναι μεν το WannaCry, ήταν ιδιαίτερα καταστροφικό, αλλά ήταν ένα εργαλείο που είχε αρκετά σφάλματα και δημιουργήθηκε από ερασιτέχνες, ενώ το Petya, σύμφωνα με τους ειδικούς είναι ένα πανίσχυρο ransomware που μπορεί να μολύνει οποιαδήποτε έκδοση των Windows, συμπεριλαμβανομένων και των Windows 10. Μόλις το κακόβουλο λογισμικό μολύνει έναν υπολογιστή, παραμένει αδρανές για περίπου μια ώρα και στη συνέχεια επανεκκινεί το σύστημα. Μετά την επανεκκίνηση, τα αρχεία κρυπτογραφούνται και τα θύματα λαμβάνουν ένα σημείωμα λύτρων στον υπολογιστή τους. Κατά τη διαδικασία της επανεκκίνησης, τα θύματα προειδοποιούνται να μην προβούν σε τερματισμό του συστήματος επειδή μπορεί να χάσουν τα αρχεία τους.
Οι ερευνητές της ESET που διερεύνησαν την επίθεση, ανακάλυψαν ότι οι κυβερνοεγκληματίες που βρίσκονται πίσω από αυτήν έχουν καταφέρει να παραβιάσουν το M.E.Doc, ένα πολύ δημοφιλές λογισμικό για λογιστική χρήση που χρησιμοποιείται σε διάφορους τομείς στην Ουκρανία, μεταξύ των οποίων και σε χρηματοπιστωτικά ιδρύματα. Αρκετά από αυτά τα ιδρύματα είχαν εκτελέσει μία «trojanized» ενημέρωση του M.E.Doc, που έδωσε την ευκαιρία στους κυβερνοεγκληματίες να ξεκινήσουν την εξάπλωση της εκστρατείας ransomware, και αυτή μετά να διαδοθεί σε ολόκληρη τη χώρα και στη συνέχεια σε ολόκληρο τον κόσμο. Τα αποτελέσματα της έρευνας της ESET δείχνουν το ransomware φαίνεται να είναι μια έκδοση του Petya και όταν μολύνει επιτυχώς το MBR, θα κρυπτογραφήσει ολόκληρη τη μονάδα δίσκου. Διαφορετικά, κρυπτογραφεί όλα τα αρχεία, όπως κάνει το trojan Mischa. Για την εξάπλωσή του, φαίνεται ότι χρησιμοποίησε ένα συνδυασμό του SMB exploit (EternalBlue), όπως είχε κάνει και το WannaCry για να μπει στο δίκτυο και στη συνέχεια εξαπλώνεται μέσω του PsExec. Αυτός ο επικίνδυνος συνδυασμός πιθανά να είναι ο λόγος για τον οποίο η εκστρατεία αυτή εξαπλώθηκε σε παγκόσμιο επίπεδο και τόσο γρήγορα. Αρκεί μόνο ένας υπολογιστής χωρίς patches για να εισχωρήσει στο δίκτυο το κακόβουλο λογισμικό και μετά μπορεί να αποκτήσει δικαιώματα διαχειριστή και να εξαπλωθεί σε άλλους υπολογιστές. Το Petya ανιχνεύεται από την ESET σαν Win32/Diskcoder.C Trojan. Αναλυτικές πληροφορίες σχετικά με το malware βρίσκονται στο σχετικό άρθρο στο blog της ESET, WeLiveSecurity.com. Η ESET έχει εντοπίσει χιλιάδες απόπειρες επίθεσης σε μοναδικούς χρήστες, ενώ και η Ελλάδα βρίσκεται μεταξύ των χωρών που έχουν καταγραφεί κρούσματα, βρίσκεται μάλιστα στην 5η θέαση με 1,39%.
Η SophosLabs διαπίστωσε πως οι νέες παραλλαγές του ransomware, Petya (γνωστού και ως GoldenEye) βρίσκονται πίσω από την πρόσφατη μαζική επιδημία που εξαπλώθηκε σε ολόκληρη την Ευρώπη, ενώ κάποιες άλλες εταιρείες από την βιομηχανία της ασφάλειας το ονομάζουν PetrWrap. Αυτό που καθιστά τη νέα αυτή απειλή διαφορετική είναι ότι τώρα συμπεριλαμβάνει το exploit με την ονομασία EternalBlue (ή και κάποια τροποποιημένη μορφή του) ως ένα τρόπο διάδοσής του στο εσωτερικό του δικτύου που αποτελεί τον στόχο. Το exploit επιτίθεται στην υπηρεσία Windows Server Message Block (SMB) που χρησιμοποιείται για τον διαμοιρασμό αρχείων και εκτυπωτών κατά μήκος τοπικών δικτύων. Η Microsoft όπως είναι γνωστό έχει ασχοληθεί με το ζήτημα και το έχει τακτοποιήσει (προσφέροντας τα απαραίτητα patches) με το bulletin MS17-010από τον περασμένο Μάρτιο, ωστόσο ακριβώς το ίδιο exploit ήταν που αποδείχτηκε καθοριστικής σημασίας για την τρομακτική διάδοση του WannaCry τον περασμένο μήνα.
Το Petya επίσης επιχειρεί να εξαπλωθεί εσωτερικά σε ένα δίκτυο “σπάζοντας” κωδικούς πρόσβασης με δικαιώματα διαχειριστή και μολύνει άλλους υπολογιστές στο δίκτυο χρησιμοποιώντας εργαλεία απομακρυσμένης διαχείρισης. Επίσης μπορεί να διαδοθεί εσωτερικά με το να μολύνει διαμοιραζόμενα/ κοινόχρηστα στοιχεία δικτύου σε άλλους υπολογιστές. Και το καταφέρνει με το να τρέχει κώδικα κλοπής διαπιστευτηρίων για να “σπάει” κωδικούς πρόσβασης από λογαριασμούς χρηστών προτού εξαπολύσει το ransomware. Για να μολύνει απομακρυσμένους υπολογιστές, συνοδεύεται και από ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης με την ονομασία PsExec από τη σουίτα SysInternals της Microsoft. Όσοι πελάτες χρησιμοποιούν το Sophos Endpoint Protection προστατεύονται από όλες τις τελευταίες παραλλαγές αυτού του ransomware. Για πρώτη φορά δημοσιεύτηκε η προστασία στις 27 Ιουνίου και από τότε η εταιρεία έχει προσφέρει αρκετές ενημερώσεις για την περαιτέρω προστασία από τυχόν μελλοντικές παραλλαγές του. Επιπλέον, οι πελάτες που χρησιμοποιούν το Sophos Intercept X προστατεύονται προληπτικά χωρίς κρυπτογραφημένα δεδομένα από τη στιγμή που εμφανίστηκε αυτή η νέα παραλλαγή ransomware.
Οι αναλυτές της Kaspersky Lab ερεύνησαν το νέο κύμα επιθέσεων ransomware και από αρχικά συμπεράσματα τους προκύπτει πως δεν είναι μία παραλλαγή του ransomware «Petya», όπως αναφέρθηκε δημόσια, αλλά ένας καινούριος τύπος ransomware που δεν έχει εμφανιστεί ποτέ ξανά. Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονόμασαν «ExPetr». Αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη αφού περιλαμβάνει διάφορους φορείς έκθεσης σε κίνδυνο. Σύμφωνα με την ομάδα ασφαλείας της Kaspersky, το ransomware βασίζεται σε ένα προσαρμοσμένο εργαλείο με την ονομασία “a la Minikatz” για τη διάδοσή του. Αυτό εξάγει τα credentials που χρειάζεται για το spread, από τo process lsass.exe. To Lsass ή Local Security Authority Subsystem Service πρόκειται για ένα από τα πιο κρίσιμα αρχεία στο σύστημα των Windows. Το κακόβουλο λογισμικό χρησιμοποιεί μια πληθώρα εργαλείων για να διαδοθεί σε ένα δίκτυο, μολύνοντας τους υπολογιστές στην πορεία του. Η επίθεση πιστεύεται ότι ξεκίνησε μέσω μιας ευπαθούς ενημέρωσης του ουκρανικού λογισμικού MeDoc, το οποίο χρησιμοποιείται από πολλούς κυβερνητικούς οργανισμούς στη χώρα. Σύμφωνα με αναφορές, αυτός είναι και ο λόγος για τον οποίο η Ουκρανία χτυπήθηκε περισσότερο από όλες τις υπόλοιπες χώρες. Η ανάλυση δείχνει πως λίγες ελπίδες υπάρχουν για να ανακτήσουν τα θύματα των επιθέσεων ransomware «ExPetr» τα δεδομένα τους.
Έχοντας αναλύσει τον υψηλού επιπέδου κώδικα της ρουτίνας κρυπτογράφησης, προκύπτει πως μετά από την κρυπτογράφηση δίσκου, ο φορέας απειλής δεν μπορούσε να αποκρυπτογραφήσει τους δίσκους των θυμάτων. Για να αποκρυπτογραφήσουν το δίσκο ενός θύματος, οι φορείς απειλής χρειάζονται το αναγνωριστικό εγκατάστασης. Σε προηγούμενες εκδόσεις από παρόμοια ransomware όπως το Petya/Mischa/GoldenEye αυτό το αναγνωριστικό εγκατάστασης περιέχει πληροφορίες απαραίτητες για την επαναφορά. Το ExPetr δεν το έχει αυτό, το οποίο σημαίνει πως ο φορέας απειλής δεν μπορούσε να εξάγει τις απαραίτητές πληροφορίες για την αποκρυπτογράφηση. Με λίγα λόγια, τα θύματα δεν μπορούσαν να επαναφέρουν τα δεδομένα τους.
Η Bitdefender επιβεβαιώνει ότι το GoldenEye/Petya ransomware, μαζί με άλλα exploits, χρησιμοποιεί και το the EternalBlue exploit για να μεταφέρεται από τον έναν υπολογιστή στον άλλο. Σε αντίθεση με τα άλλα ransomware, η νέα έκδοση του GoldenEye έχει δύο στάδια κρυπτογράφησης: ένα που κρυπτογραφεί αρχεία στον υπολογιστή και ένα που κρυπτογραφεί την δομή του NTFS. Με αυτό τον τρόπο τα θύματα αδυνατούν να ξεκινήσουν τον υπολογιστή για να προσπαθήσουν να ανακτήσουν τα αρχεία τους. Ακριβώς όπως το Petya, το GoldenEye κρυπτογραφεί όλο τον σκληρό δίσκο και απαγορεύει την πρόσβαση στον υπολογιστή. Σε αντίθεση όμως με τον Petya, δεν υπάρχει τρόπος ανάκτησης των κλειδιών της αποκρυπτογράφησης από τον υπολογιστή. Επιπλέον, μετά την διαδικασία κρυπτογράφησης των αρχείων, το ransomware διακόπτει βίαια την λειτουργία του λειτουργικού συστήματος απαιτώντας επαννεκίνηση μετά από την οποία ο υπολογιστής δεν μπορεί πλέον να χρησιμοποιηθεί εκτός εάν πληρωθούν λύτρα των 300 δολλαρίων. Η εταιρία δηλώνει ότι όσοι χρησιμοποιούν το Bitdefender δεν επηρεάζονται από αυτή την επίθεση. H Bitdefender αποκρούει όλες τις μέχρι τώρα εκδόσεις του GoldenEye. Το GravityZone διαθέτει μία νέας γενιάς πολύπλευρη δομή ασφαλείας που προσφέρει πρόληψη, ανίχνευση, αντιμετώπιση και διαχείριση μέσα σε μία κονσόλα.
Πηγές:
Secnews.gr
AME-ΜΠΕ
Reuters