W 2017 roku oprogramowanie ransomware nagle i spektakularnie ewoluowało. Trzy bezprecedensowe epidemie przeobraziły krajobraz oprogramowania ransomware, prawdopodobnie na zawsze. Ataki były wymierzone w firmy i wykorzystywały robaki oraz upublicznione niedawno exploity w celu rozprzestrzeniania się. W ramach ataków szyfrowano dane i żądano okupu, którego w rzeczywistości nie chciano. Sprawcami tych ataków prawdopodobnie nie byli przeciętni złodzieje, którzy zwykle stoją za oprogramowaniem ransomware. Ponadto, co najmniej jeden z ataków zawierał błędy, które sugerują, że być może zostały one zrealizowane zbyt wcześnie. Inny rozprzestrzeniał się za pośrednictwem zhakowanego oprogramowania biznesowego, dwa były powiązane ze sobą, natomiast w przypadku dwóch największych, wydaje się, że ich celem było niszczenie danych. Koszty poniesione przez ofiary na skutek tych trzech ataków już teraz szacowane są na setki milionów dolarów.
Przedstawiamy ransomware w 2017 roku. Roku, w którym globalne przedsiębiorstwa i systemy przemysłowe znalazły się na coraz dłuższej liście ofiar tego zagrożenia, a cyberprzestępcy przeprowadzający ataki ukierunkowane zaczęli poważnie interesować się tym zagrożeniem. Rok ten charakteryzował się również stale wysoką liczbą ataków, a zarazem ograniczoną innowacyjnością.
W tym krótkim dokumencie zaprezentowano kilka kluczowych momentów.
Wszystko zaczęło się 12 maja, gdy społeczność związana z bezpieczeństwem zauważyła coś, czego nie widziała od prawie dekady: cyberatak z wykorzystaniem robaka, który rozprzestrzeniał się w niekontrolowany sposób. Celem robaka było instalowanie oprogramowania ransomware kryptograficznego WannaCry na zainfekowanych maszynach.
Epidemia WannaCry dotknęła setki tysięcy komputerów na całym świecie. W celu rozprzestrzeniania się robak wykorzystywał exploita o nazwie EternalBlue oraz backdoora DoublePulsar, z których oba zostały upublicznione przez ugrupowanie Shadow Brokers miesiąc przed epidemią. Robak automatycznie atakował wszystkie komputery znajdujące się w tej samej lokalnej podsieci co zainfekowana maszyna, jak również losowe zakresy IP poza siecią lokalną – rozprzestrzeniając się błyskawicznie na całym świecie.
W celu zainfekowania maszyny WannaCry wykorzystywał lukę w zabezpieczeniach implementacji Windows protokołu SMB. Microsoft opublikował aktualizację w celu załatania tej luki jeszcze w marcu 2017 r., jednak liczba niezałatanych maszyn była tak wysoka, że w nikłym stopniu zahamowało to rozprzestrzenianie się epidemii WannaCry.
Po zainfekowaniu maszyny i wykonaniu procedury dalszego rozprzestrzeniania się WannaCry szyfrował kilka cennych plików należących do ofiary i wyświetlał żądanie okupu. Całkowite odszyfrowanie zaszyfrowanych plików wymagało zapłacenia okupu – aczkolwiek nasi analitycy wykryli kilka błędów w kodzie WannaCry, które umożliwiały niektórym ofiarom przywrócenie niektórych swoich danych bez konieczności zapłacenia okupu.
Atak nie ograniczał się do jednej branży, a ofiarami były głównie organizacje posiadające systemy sieciowe. Ransomware zaatakował również systemy wbudowane, które często działają na przestarzałych systemach operacyjnych, a tym samym są szczególnie podatne na ataki. Ofiary otrzymały żądanie okupu, który należało zapłacić w bitcoinach. Z raportów wynika, że ostateczna liczba ofiar mogła wynosić aż trzy czwarte miliona.
Producent samochodów, Renault, zmuszony był zamknąć swoją największą fabrykę we Francji, natomiast szpitale w Wielkiej Brytanii musiały odmówić przyjmowania pacjentów. Wśród ofiar ataku znalazł się również niemiecki gigant w branży transportowej, Deutsche Bahn, hiszpańska firma Telefónica, West Bengal power distribution company, FedEx, Hitachi, oraz Rosyjskie Ministerstwo Spraw Wewnętrznych. Miesiąc po opanowaniu pierwszej epidemii, nadal występowały ofiary WannaCry, łącznie z firmą Honda, która była zmuszona zamknąć jedną ze swoich fabryk.
Jako destrukcyjny, głośny atak na firmy, WannaCry odniósł ogromny sukces. Jako przedsięwzięcie z wykorzystaniem oprogramowania ransomware w celu zarobienia sporych pieniędzy – okazał się klapą. Rozprzestrzenianie ataku za pośrednictwem robaka nie jest najlepszą metodą w przypadku zagrożenia, które daje największe korzyści, gdy przemieszcza się ukradkiem. Szacuje się, że robak ten „zarobił” jedynie około 55 000 dolarów w bitcoinach, gdyż większy zysk uniemożliwiła ma jego „sława”. Jakość kodu w niektórych miejscach była słaba, sugeruje się nawet, że został wypuszczony na zewnątrz, zanim był całkowicie gotowy. Wiele wskazuje również na to, łącznie z podobieństwami wcześniejszego kodu, że za WannaCry odpowiada niesławne koreańskojęzyczne ugrupowanie cyberprzestępcze Lazarus.
Być może prawdziwy cel ataku WannaCry nigdy nie zostanie poznany – czy mieliśmy do czynienia z oprogramowaniem ransomware, w którym coś poszło nie tak, czy celowy destrukcyjny atak zamaskowany jako oprogramowanie ransomware?
Drugi duży atak nastąpił zaledwie sześć tygodni później, 27 czerwca. Był on głównie rozprzestrzeniany za pośrednictwem infekcji łańcucha dostaw, a jego celem były maszyny zlokalizowane głównie na Ukrainie, w Rosji oraz w Europie. Telemetria firmy wskazuje, że zaatakowanych zostało ponad 5 000 ataków. Ofiary otrzymały „żądanie okupu” wynoszącego około 300 dolarów, który należało zapłacić w bitcoinach – później okazało się, że nawet po spełnieniu żądania nie mogli odzyskać swoich plików.
ExPetr stanowił złożony atak o kilku wektorach włamań. Obejmowały one zmodyfikowanego exploita EternalBlue (wykorzystywanego również przez WannaCry) oraz EternalRomance, jak również backdoora DoublePulsar służącego do rozprzestrzeniania w ramach sieci korporacyjnej; zhakowane oprogramowanie księgowe MeDoc, które rozprzestrzeniało szkodliwe oprogramowanie za pośrednictwem aktualizacji oprogramowania; oraz zhakowaną stronę informacyjną dla ukraińskiego regionu Bakhmut, która była wykorzystywana przez osoby atakujące jako tzw. lej (watering hole).
Co więcej, ExPetr potrafił rozprzestrzeniać się nawet na właściwie załatane maszyny w tej samej sieci lokalnej, w której znajdował się pierwotnie zainfekowany komputer. W tym celu przechwytywał dane uwierzytelniające z zainfekowanego systemu przy użyciu narzędzia podobnego do Mimikatz i przystępował do dalszego rozprzestrzeniania się w sieci przy użyciu narzędzi PsExec lub WMIC.
Komponent szyfrujący ExPetra działał na dwóch poziomach: szyfrując pliki ofiary przy użyciu algorytmu AES-128, a następnie instalując zmodyfikowanego bootloadera pobranego z innego szkodliwego programu – GoldenEye (następcy oryginalnego programu Petya). Ten szkodliwy bootloader szyfrował MFT, krytyczną strukturę danych systemu plików NTFS i uniemożliwiał dalsze procesy rozruchu, żądając okupu.
Wśród ofiar ExPetra znalazły się znane organizacje, takie jak porty wysyłkowe, supermarkety oraz agencje i kancelarie prawne: na przykład, Maersk, FedEx (TNT) oraz WPP. Miesiąc po ataku wysyłki TNT nadal były dotknięte problemem, przy czym najbardziej ucierpieli klienci małych i średnich przedsiębiorstw. Inna ofiara, gigant w branży towarów konsumenckich, Reckitt Benckiser, straciła dostęp do 15 000 laptopów, 2 000 serwerów i 500 systemów komputerowych w ciągu zaledwie 45 minut od ataku – i spodziewa się strat przekraczających 130 milionów dolarów. Maersk ogłosił, że na skutek ataku odnotował utratę przychodów w wysokości około 300 milionów dolarów.
Eksperci z Kaspersky Lab zidentyfikowali podobieństwa między kodem ExPetra a wczesnymi wariantami kodu KillDisk BlackEnergy – jednak prawdziwy motyw oraz cel stworzenia ExPetra pozostają nieznane.
Następnie, pod koniec października, pojawił się kolejny krypto-robak - BadRabbit. Pierwotna infekcja rozpoczynała się od pobierania niechcianego pliku (drive-by download), który umieszczony był na wielu zhakowanych stronach internetowych i podszywał się pod aktualizację dla Adobe Flash Playera. Po uruchomieniu na komputerze ofiary komponent robaka BadRabbita próbował samodzielnie rozprzestrzeniać się przy pomocy exploita EternalRomance oraz stosować technikę lateral movement (dalsze rozprzestrzeniania się infekcji w wewnętrznej sieci) podobną do tej wykorzystywanej przez ExPetra. Większość celów BadRabbita było zlokalizowanych w Rosji, na Ukrainie, w Turcji oraz w Niemczech.
Komponent ransomware w ramach BadRabbita szyfrował pliki ofiary, a następnie całe partycje dysku przy użyciu modułów legalnego narzędzia DiskCryptor. Analiza kodu próbek BadRabbita oraz jego Technik wskazuje na zauważalne podobieństwo między tym szkodliwym oprogramowaniem a ExPetrem. Jednak, w przeciwieństwie do ExPetra, BadRabbit nie wygląda na program typu wiper, ponieważ możliwości kryptograficzne technicznie pozwalają ugrupowaniom cyberprzestępczym odszyfrować komputer ofiary.
Cyberprzestępcy stojący za wyżej wspomnianymi epidemiami oprogramowania ransomware nie byli jedynymi, którzy wykorzystali kod exploitów, który został publicznie udostępniony przez Shadow Brokers, aby siać zamęt.
Wykryliśmy również kilka innych, mniej znanych rodzin oprogramowania ransomware, które w którymś momencie wykorzystywały te same exploity. Są to, między innymi, AES-NI (Trojan-Ransom.Win32.AecHu) oraz Uiwix (wariant Trojan-Ransom.Win32.Cryptoff). Stanowią one „czyste” oprogramowanie ransomware w takim sensie, że nie zawierają żadnych możliwości robaka, tj. nie potrafią się samodzielnie rozmnażać, co tłumaczy, dlaczego nie rozprzestrzeniły się tak szeroko jak np. WannaCry. Jednak ugrupowania cyberprzestępcze stojące za tymi rodzinami szkodliwego oprogramowania wykorzystały te same luki w zabezpieczeniach komputerów ofiar podczas pierwotnych infekcji.
Oprócz epidemii na dużą skalę, które wstrząsnęły światem, w II kwartale 2017 r. wyłonił się interesujący trend: kilka grup cyberprzestępczych stojących za różnymi kryptorami ransomware zakończyło swoją działalność i opublikowało sekretne klucze niezbędne do odszyfrowania plików ofiar.
Poniżej przedstawiamy listę rodzin, których dotyczyły klucze opublikowane w II kwartale:
Klucz główny Petya/Mischa/GoldenEye został opublikowany niedługo po epidemii ExPetra i być może autorzy Petya próbowali pokazać w ten sposób, że to nie oni odpowiadali za ExPetra.
Chociaż wydawało się, że oprogramowanie ransomware Crysis “umarło” w maju 2017 roku po tym, jak opublikowane zostały wszystkie klucze główne, okazuje się, że nie pozostawało martwe długo. W sierpniu zaczęliśmy wykrywać wiele nowych próbek tego oprogramowania ransomware, które okazały się być niemal identycznymi kopiami wcześniej rozprzestrzenianych próbek, za wyjątkiem kilku różnic: posiadały nowe główne klucze publiczne, nowe adresy e-mail, na które ofiary miały skontaktować się z przestępcami, oraz nowe rozszerzenia zaszyfrowanych plików. Wszystko inne pozostało niezmienione – nawet znaczniki czasowe w nagłówkach PE. Po dokładnym zbadaniu starych i nowych próbek nasi analitycy doszli do wniosku, że nowe próbki zostały najprawdopodobniej stworzone poprzez binarne załatanie starych przy użyciu edytora szesnastkowego.
W 2016 roku zaobserwowaliśmy nowy wyłaniający się trend wśród najbardziej rozpowszechnionego oprogramowania ransomware. Zamiast próbować nakłonić ofiarę do uruchomienia szkodliwego pliku wykonywalnego lub wykorzystywać zestawy exploitów, cyberprzestępcy zwrócili się w kierunku innego wektora infekcji. Atakowali metodą siłową loginy zdalnego pulpitu (RDP) oraz hasła na maszynach, które miały włączone RDP i do których można było uzyskać dostęp z internetu.
W 2017 roku podejście to stało się jedną z głównych metod propagacji dla kilku szeroko rozpowszechnionych rodzin, takich jak Crysis, Purgen/GlobeImposter czy Cryakl. To oznacza, że podczas zabezpieczania sieci specjaliści InfoSec powinni mieć na uwadze ten wektor i blokować dostęp do RDP z zewnątrz sieci korporacyjnej.
Trzeba tu podkreślić, że nie należy trzymać się ściśle liczb bezwzględnych, ponieważ odzwierciedlają one zmiany w metodologii wykrywania, podobnie jak ewolucję krajobrazu. Mając to na uwadze, warto rozważyć kilka najważniejszych trendów:
Dalsze szczegóły dotyczące tych trendów, łącznie z państwami, które najbardziej ucierpiały, oraz głównymi rodzinami ransomware, można znaleźć w raporcie statystycznym w ramach biuletynu Kaspersky Security Bulletin 2017.
Według corocznego badania bezpieczeństwa IT firmy Kaspersky Lab:
W 2017 r. zauważyliśmy, że oprogramowanie ransomware było najprawdopodobniej wykorzystywane przez zaawansowane ugrupowania cyberprzestępcze do przeprowadzania ataków mających na celu bardziej zniszczenie danych niż uzyskanie korzyści finansowych. Liczba ataków na konsumentów, małe i średnie firmy oraz przedsiębiorstwa pozostała wysoka, jednak w atakach tych wykorzystywano głównie istniejący lub zmodyfikowany kod znanych lub generycznych rodzin.
Czy model biznesowy ransomware zaczyna się załamywać? Czy istnieje bardziej lukratywna alternatywa dla cyberprzestępców motywowanych korzyściami finansowymi? Jedną z możliwości byłoby wydobywanie kryptowaluty. Prognozy Kaspersky Lab dotyczące zagrożeń dla kryptowalut dla 2018 roku sugerują wzrost liczby ataków ukierunkowanych przeprowadzanych w celu instalowania programów służących do wydobywania kryptowaluty. O ile oprogramowanie ransomware zapewnia potencjalnie wysoki, ale jednorazowy dochód, programy służące do wydobywania kryptowaluty mogą przynieść niższe, ale rozłożone na dłuższy okres przychody – co może stanowić kuszącą perspektywę dla wielu osób atakujących w dzisiejszym turbulentnym krajobrazie oprogramowania ransomware. Jednak jedna rzecz jest pewna: ransomware nie zniknie tak po prostu – ani jako bezpośrednie zagrożenie, ani jako przykrywka dla głębszego ataku.
Analizy
Blog