Ransomware — zagrożenie,które będzie narastało

MAREK MEISSNER
18-10-2017, 22:00

Ataki ransomware będą się zdarzać coraz częściej. Doświadczenia europejskie, w tym polskie, wskazują, że żaden sektor gospodarki nie jest przed nimi zabezpieczony

Ransomware jest groźnym, złośliwym oprogramowaniem szyfrującym całkowicie pliki na dysku. Zależnie od siły algorytmu użytego w tym celu, pliki mogą być częściowo lub całkowicie nie do odzyskania. Przestępcy stworzyli wokół tego oprogramowania swoisty przemysł — po całkowitym zaszyfrowaniu plików ofiara dostaje propozycję okupu płatnego w elektronicznej walucie — bitcoinach, dane, dotyczące warunków wpłaty i jej terminu. Przesłanie okupu ma gwarantować wysłanie przez cyberprzestępców klucza prywatnego, który umożliwi odszyfrowanie plików.

W Polsce też atakują

Ostatni znany udany atak ransomware, przeprowadzony na terytorium Polski dotyczy Urzędu Miasta w Turku. Doszło do niego 21 sierpnia 2017 r. i sparaliżował urząd na niemal tydzień. Wektor ataku dotychczas pozostaje nieokreślony; najprawdopodobniejszy jest błąd ludzki, czyli rozpakowanie załącznika do e-maila zawierającego ransomware. Jako pierwsi nieprawidłowości w działaniu systemu urzędu miasta mieli dostrzec pracownicy Turkowskiego Inkubatora Przedsiębiorczości, podłączeni do miejskiego systemu zarządzania. Nie działał on poprawnie, wiele folderów nie było dostępnych, a pliki dokumentów były przedstawiane jako pliki dźwiękowe, co dowodzi, że zmieniono im rozszerzenie. Wskazuje to na atak ransomware zbliżony do użytego kilka miesięcy temu ransomware o nazwie WannaCry, gdyż jego rozszerzenie WNCRY jest często czytane przez Windows jako typ rozszerzenia pliku muzycznego. Urząd miasta został przez pracowników inkubatora zawiadomiony, ale urzędnicy miejscy zlekceważyli sprawę, uznając ją za dowcip (być może dlatego, że był to piątek i zbliżał się koniec pracy). Efekty zaczęły być widoczne w poniedziałek. System stał się niedostępny, zablokowano możliwość obsługi mieszkańców przez internet, wstrzymano nawet wypłaty świadczeń (później udało się taką możliwość odblokować). Jako oficjalną przyczynę podano „awarię systemu komputerowego”. Jednak według informacji portali bezpieczeństwa, kierownictwo UM w Turku otrzymało ofertę zapłaty 13 tys. zł okupu, którego oczywiście nie zapłacono. Jednak do szyfrowania użyto algorytmu AES 256, a więc silnego, co oznacza, iż szanse na odzyskanie zaszyfrowanych plików są niewielkie. System został przywrócony z backupu, jednak jego odbudowa i uruchomienie wszystkich funkcjonalności zajęło tydzień. Zainfekowanym systemem zajęli się także cyberpolicjanci z Komend Wojewódzkiej Policji w Poznaniu, którzy stwierdzili, że infekcja mogła zostać spowodowana nieostrożnym otwarciem załącznika do e-maila, lub ransomware mogło zostać przyniesione na dysku zewnętrznym — prawdopodobnie nośniku USB. Policja i prokuratura w Turku prowadzą dochodzenie w sprawie ataku.

Powszechne zagrożenie

Warto zauważyć, że tego typu udane ataki na instytucje samorządowe będą się powtarzały, niezależnie od tzw. ataków masywnych, jakie następowały latem 2017 r. Stosunkowo nowe są też ich wektory. 1 grudnia 2016 r. na YouTube pojawił się film, który miał obrazować „100–procentowo ścisły i działający” proces odszyfrowania plików po ataku ransomware. Plik wideo oznaczony był jako niepubliczny. Przez miesiąc zyskał 1300 odsłon. Jednak otwarcie tego pliku oznaczało w rzeczywistości otwarcie linku ściągającego automatycznie ransomware! Na podstawie liczby odsłon portal Niebezpiecznik.pl wyliczył, iż plik infekował 50 osób dziennie. Prawdopodobne jest, że później ilość infekcji spadła, ale pojawiły się także nowe pliki tego samego typu. Ransomware jest przy tym bardzo niebezpieczne nie tylko dla wszystkich firm, poczynając od MSP; infekcja tym malware może dotknąć praktycznie wszystkich użytkowników domowych PC, przy czym w ich przypadku będzie groźniejsza, bo utracą wszystkie dane na komputerze; szansa ich odzyskania jest w tym przypadku zerowa.

Sparaliżowane olbrzymy

Bezpośrednią przyczyną powtarzających się ataków ransomware są dwie udane megainfekcje, właściwie pandemie ransomware, które zadziałały w skali globalnej. Według analityków bezpieczeństwa z firmy Cisco Talos ataki WannaCry i Petya A. wraz z malware NotPeyta nie były co prawda udane finansowo dla sprawców, ale pokazały, jakich wektorów można użyć, aby były one udane i objęły jak najwięcej firm. W niedługim czasie na pewno znajdą się naśladowcy, którzy zechcą zmonetyzować te doświadczenia, lub odezwą się jeszcze raz twórcy ataku Petya.A. Dotychczas ich nie wykryto, nie określono nawet prawdopodobnej narodowości atakujących; przypuszcza się jedynie, że grupa ma skład międzynarodowy. Petya to ransomware autorstwa grupy hakerskiej Janus Cybercrime Solutions rozwijane od 2013 r., po raz pierwszy ukazało się na rynku przestępczym w grudniu 2015 r., zaś pierwszy atak z jego użyciem nastąpił miesiąc później, już w 2016 r., obejmując działy HR kilku międzynarodowych koncernów, gdzie malware (czyli złośliwy kod) było częścią folderu.zip zawierającego rzekome CV. Użyta w drugim ataku odmiana tego ransomware — Petya.A — szyfrowała pliki z 64 rozszerzeniami. Oznacza to praktycznie wszystkie aplikacje używane zarówno przez zwykłych użytkowników, jak i biznes. Złośliwa aplikacja działała skuteczniej niż WannaCry, szyfrowała Master Boot Record. Jak stwierdzili analitycy firmy bezpieczeństwa McAfee, szyfrowaniu podlegał Master File Table (MFT). Atakujący żądali stałego okupu w wysokości 300 BT (bitcoinów). Adres portfela zawsze był taki sam; w komunikacie o szyfrowaniu przestępcy domagali się przesłania klucza i adresu BTC, z którego dokonano wpłaty, na e-mail wowsmith123456@posteo.net. Adres ten później został zablokowany, co znacznie utrudniło grupie przestępczej zbieranie okupów. Atak od początku był udany; już w pierwszym dniu zablokował dwa ministerstwa na Ukrainie, sekretariat premiera i państwowy koncern energetyczny UkrEnergo. Dwie godziny później atak objął już Międzynarodowy Port Lotniczy Kijiv Boryspil, który faktycznie przestał przyjmować i odprawiać samoloty oraz banki państwowe i prywatne, m.in. Oszadzbank oraz Bank Centralny Ukrainy. Zaatakowane zostały także kijowskie metro, firma usług pocztowych Nowa Poszta, największa ukraińska firma lotnicza — Antonow oraz dystrybutor energii Kievenergo. Ukraina była bez wątpienia pierwszym celem i rozsadnikiem ataku: zainfekowane zostały pliki deweloperskie i instalacyjne oraz aktualizacje popularnej aplikacji do zarządzania dokumentami M.E.doc. Na serwerze upd.me-doc.com.ua (92.60.184.55) podmieniono aktualizację na złośliwą wersję, która zaciągała pliki malware i skanowała porty TCP139 i TCP445. Szczególne cechy ransomware sprawiły, iż atak był szybki i trudny do powstrzymania. Wektorem był nie tylko SMB (Server Message Block, jedna z podstawowych usług w systemie Windows), jak we wcześniejszym ransomware WannaCry; atak był także poprzez e-maile i załącznikami zawierającymi malware. Ransomware działało także na komputery z Windows 10, zabezpieczone patchem przed WannaCry; działo się tak, bowiem korzystało z mechanizmów systemowych WMIC i PSEXEC, co umożliwia atakowanie systemów zapatchowanych. Malware to potrafiło korzystać z Active Directory do infekcji, ale nie infekowało maszyn niepodpiętych do AD, ale fizycznie istniejących w firmowej sieci. Istotne było „okienkoinfekcji”, obejmujące okres 30-40 minut od zainstalowania malware — użytkownik, który się zorientował, mógł wyłączyć komputer, przygotować system ratunkowy i uruchomić go jako niskopoziomowy. Poprzez klientów firm ukraińskich atak przeniósł się na Rosję; możliwe też, że istniał tam osobny wektor ataku, nie tak eksponowany jak w przypadku Ukrainy. Efektem było zawieszenie dwóch wrażliwych systemów naftowego koncernu Rosnieft oraz Centralnego Banku Rosji. Ofiarą ataku był również Sbierbank oraz wielki koncern przeróbki metali Ewraz. Jak twierdzi agencja Interfax, atak dotknął także „setki firm usług informatycznych i elektronicznych oraz firm usługowych, handlowych, a nawet stacji benzynowych”. Polskie ofiary Petya.A są doskonale znane: zainfekowane zostały systemy firmy Raben, Kronospan, InterCars, wrocławskiego producenta słodyczy Mondelez, polskie systemy firmy kurierskiej TNT oraz Saint-Gobain. Istotniejsze i groźniejsze zarazem były efekty infekcji ransomware na Zachodzie. Według szwajcarskiej rządowej agencji bezpieczeństwa infekcja Petya.A objęła firmy z Rosji, Ukrainy, Wielkiej Brytanii, Indii, Hiszpanii i Holandii. Zablokowany na ponad tydzień został cały system informatyczny wielkiej brytyjskiej firmy marketingowo-reklamowej WPP. Co gorsza, na ponad tydzień zablokowany został też jeden największych portów bałtyckich — trzeci co do wielkości przeładunków, port w Göteborgu. Wektorem infekcji były tutaj systemy firmy Maersk, będącej jednym z głównych klientów portu w Göteborgu, jako największy światowy przewoźnik kontenerowy. Według Vincenta Clerca, wiceprezesa ds. operacyjnych w Moller Maersk, większość z 76 rozsianych po świecie terminali kontenerowych Maersk została zablokowana. Udało się odblokować większość z nich, jednak terminal w porcie w Göteborgu nie działał od 29 czerwca przynajmniej do 5 lipca br. Jak przyznał Joachim Steivik, prezes przedsiębiorstwa żeglugowego Swedebridge, niemożliwe było uregulowanie płatności, nie udało się też wyładować żadnego kontenera. Maersk, aby uniknąć większych strat, nakazał wyłączenie wszystkich komputerów i systemów należących do firmy. Informatycy mieli odzyskać zaszyfrowane dane i przerwać proces szyfrowania, jeśli komputer znalazł się w „okienku ataku”. Według nieoficjalnych informacji, to pierwsze całkowicie się nie udało, natomiast infekcję w większości przypadków udało się powstrzymać. © Ⓟ

Okiem eksperta
Czarny Piotruś

Leszek Tasiemski, wiceprezes Rapid Detection Center w firmie F-Secure

Petya jest nowszym i skuteczniejszym odpowiednikiem niedawnego ataku ransomware o nazwie WannaCry. W odróżnieniu od niego infekuje również w pełni zaktualizowane systemy. Atak przebiega w dwóch fazach — szerzenia infekcji oraz zaszyfrowania dostępu do danych na komputerze ofiary. Petya rozprzestrzenia się po sieci lokalnej, próbując infekować sąsiednie komputery przy użyciu nazwy użytkownika i hasła wydobytego z komputera pierwszej ofiary. Po kilkudziesięciu minutach infekowania innych komputerów następuje automatyczny restart, po czym oprogramowanie szyfruje dostęp do plików i wyświetla ekran z żądaniem okupu.

Gigant w potrzasku. Zainfekowanie systemu największego na świecie przewoźnika kontenerowego — firmy Maersk, zablokowało większość z jej 76 rozsianych po świecie terminali kontenerowych. Terminal w porcie w Göteborgu nie działał przez tydzień.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: MAREK MEISSNER

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Inne / Ransomware — zagrożenie,które będzie narastało