Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin – Historia 2017 roku

Tagi:

Wprowadzenie: czego nauczyliśmy się w 2017 roku

W 2017 roku oprogramowanie ransomware nagle i spektakularnie ewoluowało. Trzy bezprecedensowe epidemie przeobraziły krajobraz oprogramowania ransomware, prawdopodobnie na zawsze. Ataki były wymierzone w firmy i wykorzystywały robaki oraz upublicznione niedawno exploity w celu rozprzestrzeniania się. W ramach ataków szyfrowano dane i żądano okupu, którego w rzeczywistości nie chciano. Sprawcami tych ataków prawdopodobnie nie byli przeciętni złodzieje, którzy zwykle stoją za oprogramowaniem ransomware. Ponadto, co najmniej jeden z ataków zawierał błędy, które sugerują, że być może zostały one zrealizowane zbyt wcześnie. Inny rozprzestrzeniał się za pośrednictwem zhakowanego oprogramowania biznesowego, dwa były powiązane ze sobą, natomiast w przypadku dwóch największych, wydaje się, że ich celem było niszczenie danych. Koszty poniesione przez ofiary na skutek tych trzech ataków już teraz szacowane są na setki milionów dolarów.        

Przedstawiamy ransomware w 2017 roku. Roku, w którym globalne przedsiębiorstwa i systemy przemysłowe znalazły się na coraz dłuższej liście ofiar tego zagrożenia, a cyberprzestępcy przeprowadzający ataki ukierunkowane zaczęli poważnie interesować się tym zagrożeniem. Rok ten charakteryzował się również stale wysoką liczbą ataków, a zarazem ograniczoną innowacyjnością. 

W tym krótkim dokumencie zaprezentowano kilka kluczowych momentów.

Epidemie na skalę masową, które nie były dokładnie tym, czym się wydawały

WannaCry

Wszystko zaczęło się 12 maja, gdy społeczność związana z bezpieczeństwem zauważyła coś, czego nie widziała od prawie dekady: cyberatak z wykorzystaniem robaka, który rozprzestrzeniał się w niekontrolowany sposób. Celem robaka było instalowanie oprogramowania ransomware kryptograficznego WannaCry na zainfekowanych maszynach.   

Epidemia WannaCry dotknęła setki tysięcy komputerów na całym świecie. W celu rozprzestrzeniania się robak wykorzystywał exploita o nazwie EternalBlue oraz backdoora DoublePulsar, z których oba zostały upublicznione przez ugrupowanie Shadow Brokers miesiąc przed epidemią. Robak automatycznie atakował wszystkie komputery znajdujące się w tej samej lokalnej podsieci co zainfekowana maszyna, jak również losowe zakresy IP poza siecią lokalną – rozprzestrzeniając się błyskawicznie na całym świecie.     

W celu zainfekowania maszyny WannaCry wykorzystywał lukę w zabezpieczeniach implementacji Windows protokołu SMB. Microsoft opublikował aktualizację w celu załatania tej luki jeszcze w marcu 2017 r., jednak liczba niezałatanych maszyn była tak wysoka, że w nikłym stopniu zahamowało to rozprzestrzenianie się epidemii WannaCry.      

Po zainfekowaniu maszyny i wykonaniu procedury dalszego rozprzestrzeniania się WannaCry szyfrował kilka cennych plików należących do ofiary i wyświetlał żądanie okupu. Całkowite odszyfrowanie zaszyfrowanych plików wymagało zapłacenia okupu – aczkolwiek nasi analitycy wykryli kilka błędów w kodzie WannaCry, które umożliwiały niektórym ofiarom przywrócenie niektórych swoich danych bez konieczności zapłacenia okupu.   

Oddziaływanie WannaCry

Atak nie ograniczał się do jednej branży, a ofiarami były głównie organizacje posiadające systemy sieciowe. Ransomware zaatakował również systemy wbudowane, które często działają na przestarzałych systemach operacyjnych, a tym samym są szczególnie podatne na ataki. Ofiary otrzymały żądanie okupu, który należało zapłacić w bitcoinach. Z raportów wynika, że ostateczna liczba ofiar mogła wynosić aż trzy czwarte miliona.        

Producent samochodów, Renault, zmuszony był zamknąć swoją największą fabrykę we Francji, natomiast szpitale w Wielkiej Brytanii musiały odmówić przyjmowania pacjentów. Wśród ofiar ataku znalazł się również niemiecki gigant w branży transportowej, Deutsche Bahn, hiszpańska firma Telefónica, West Bengal power distribution company, FedEx, Hitachi, oraz Rosyjskie Ministerstwo Spraw Wewnętrznych. Miesiąc po opanowaniu pierwszej epidemii, nadal występowały ofiary WannaCry, łącznie z firmą Honda, która była zmuszona zamknąć jedną ze swoich fabryk.

Pozostające bez odpowiedzi pytania dotyczące WannaCry

Jako destrukcyjny, głośny atak na firmy, WannaCry odniósł ogromny sukces. Jako przedsięwzięcie z wykorzystaniem oprogramowania ransomware w celu zarobienia sporych pieniędzy – okazał się klapą. Rozprzestrzenianie ataku za pośrednictwem robaka nie jest najlepszą metodą w przypadku zagrożenia, które daje największe korzyści, gdy przemieszcza się ukradkiem. Szacuje się, że robak ten „zarobił” jedynie około 55 000 dolarów w bitcoinach, gdyż większy zysk uniemożliwiła ma jego „sława”. Jakość kodu w niektórych miejscach była słaba, sugeruje się nawet, że został wypuszczony na zewnątrz, zanim był całkowicie gotowy. Wiele wskazuje również na to, łącznie z podobieństwami wcześniejszego kodu, że za WannaCry odpowiada niesławne koreańskojęzyczne ugrupowanie cyberprzestępcze Lazarus.        

Być może prawdziwy cel ataku WannaCry nigdy nie zostanie poznany – czy mieliśmy do czynienia z oprogramowaniem ransomware, w którym coś poszło nie tak, czy celowy destrukcyjny atak zamaskowany jako oprogramowanie ransomware?   

ExPetr

Drugi duży atak nastąpił zaledwie sześć tygodni później, 27 czerwca. Był on głównie rozprzestrzeniany za pośrednictwem infekcji łańcucha dostaw, a jego celem były maszyny zlokalizowane głównie na Ukrainie, w Rosji oraz w Europie. Telemetria firmy wskazuje, że zaatakowanych zostało ponad 5 000 ataków. Ofiary otrzymały „żądanie okupu” wynoszącego około 300 dolarów, który należało zapłacić w bitcoinach – później okazało się, że nawet po spełnieniu żądania nie mogli odzyskać swoich plików.    

ExPetr stanowił złożony atak o kilku wektorach włamań. Obejmowały one zmodyfikowanego exploita EternalBlue (wykorzystywanego również przez WannaCry) oraz EternalRomance, jak również backdoora DoublePulsar służącego do rozprzestrzeniania w ramach sieci korporacyjnej; zhakowane oprogramowanie księgowe MeDoc, które rozprzestrzeniało szkodliwe oprogramowanie za pośrednictwem aktualizacji oprogramowania; oraz zhakowaną stronę informacyjną dla ukraińskiego regionu Bakhmut, która była wykorzystywana przez osoby atakujące jako tzw. lej (watering hole).       

Co więcej, ExPetr potrafił rozprzestrzeniać się nawet na właściwie załatane maszyny w tej samej sieci lokalnej, w której znajdował się pierwotnie zainfekowany komputer. W tym celu przechwytywał dane uwierzytelniające z zainfekowanego systemu przy użyciu narzędzia podobnego do Mimikatz i przystępował do dalszego rozprzestrzeniania się w sieci przy użyciu narzędzi PsExec lub WMIC.    

Komponent szyfrujący ExPetra działał na dwóch poziomach: szyfrując pliki ofiary przy użyciu algorytmu AES-128, a następnie instalując zmodyfikowanego bootloadera pobranego z innego szkodliwego programu – GoldenEye (następcy oryginalnego programu Petya). Ten szkodliwy bootloader szyfrował MFT, krytyczną strukturę danych systemu plików NTFS i uniemożliwiał dalsze procesy rozruchu, żądając okupu.  

Oddziaływanie ExPetra

Wśród ofiar ExPetra znalazły się znane organizacje, takie jak porty wysyłkowe, supermarkety oraz agencje i kancelarie prawne: na przykład, Maersk, FedEx (TNT) oraz WPP. Miesiąc po ataku wysyłki TNT nadal były dotknięte problemem, przy czym najbardziej ucierpieli klienci małych i średnich przedsiębiorstw. Inna ofiara, gigant w branży towarów konsumenckich, Reckitt Benckiser, straciła dostęp do 15 000 laptopów, 2 000 serwerów i 500 systemów komputerowych w ciągu zaledwie 45 minut od ataku – i spodziewa się strat przekraczających 130 milionów dolarów. Maersk ogłosił, że na skutek ataku odnotował utratę przychodów w wysokości około 300 milionów dolarów.           

Pytania dotyczące ExPetr, na które nie uzyskano odpowiedzi

Eksperci z Kaspersky Lab zidentyfikowali podobieństwa między kodem ExPetra a wczesnymi wariantami kodu KillDisk BlackEnergy – jednak prawdziwy motyw oraz cel stworzenia ExPetra pozostają nieznane.

BadRabbit

Następnie, pod koniec października, pojawił się kolejny krypto-robak - BadRabbit. Pierwotna infekcja rozpoczynała się od pobierania niechcianego pliku (drive-by download), który umieszczony był na wielu zhakowanych stronach internetowych i podszywał się pod aktualizację dla Adobe Flash Playera. Po uruchomieniu na komputerze ofiary komponent robaka BadRabbita próbował samodzielnie rozprzestrzeniać się przy pomocy exploita EternalRomance oraz stosować technikę lateral movement (dalsze rozprzestrzeniania się infekcji w wewnętrznej sieci) podobną do tej wykorzystywanej przez ExPetra. Większość celów BadRabbita było zlokalizowanych w Rosji, na Ukrainie, w Turcji oraz w Niemczech.       

Komponent ransomware w ramach BadRabbita szyfrował pliki ofiary, a następnie całe partycje dysku przy użyciu modułów legalnego narzędzia DiskCryptor. Analiza kodu próbek BadRabbita oraz jego Technik wskazuje na zauważalne podobieństwo między tym szkodliwym oprogramowaniem a ExPetrem. Jednak, w przeciwieństwie do ExPetra, BadRabbit nie wygląda na program typu wiper, ponieważ możliwości kryptograficzne technicznie pozwalają ugrupowaniom cyberprzestępczym odszyfrować komputer ofiary.     

Exploity, które wyciekły, wspomogły wiele nowych fal ataków

Cyberprzestępcy stojący za wyżej wspomnianymi epidemiami oprogramowania ransomware nie byli jedynymi, którzy wykorzystali kod exploitów, który został publicznie udostępniony przez Shadow Brokers, aby siać zamęt. 

Wykryliśmy również kilka innych, mniej znanych rodzin oprogramowania ransomware, które w którymś momencie wykorzystywały te same exploity. Są to, między innymi, AES-NI (Trojan-Ransom.Win32.AecHu) oraz Uiwix (wariant Trojan-Ransom.Win32.Cryptoff). Stanowią one „czyste” oprogramowanie ransomware w takim sensie, że nie zawierają żadnych możliwości robaka, tj. nie potrafią się samodzielnie rozmnażać, co tłumaczy, dlaczego nie rozprzestrzeniły się tak szeroko jak np. WannaCry. Jednak ugrupowania cyberprzestępcze stojące za tymi rodzinami szkodliwego oprogramowania wykorzystały te same luki w zabezpieczeniach komputerów ofiar podczas pierwotnych infekcji.        

Opublikowano klucze główne dla kilku rodzin oprogramowania ransomware 

Oprócz epidemii na dużą skalę, które wstrząsnęły światem, w II kwartale 2017 r. wyłonił się interesujący trend: kilka grup cyberprzestępczych stojących za różnymi kryptorami ransomware zakończyło swoją działalność i opublikowało sekretne klucze niezbędne do odszyfrowania plików ofiar.

Poniżej przedstawiamy listę rodzin, których dotyczyły klucze opublikowane w II kwartale:

  • Crysis (Trojan-Ransom.Win32.Crusis);
  • AES-NI (Trojan-Ransom.Win32.AecHu);
  • xdata (Trojan-Ransom.Win32.AecHu);
  • Petya/Mischa/GoldenEye (Trojan-Ransom.Win32.Petr).

Klucz główny Petya/Mischa/GoldenEye został opublikowany niedługo po epidemii ExPetra i być może autorzy Petya próbowali pokazać w ten sposób, że to nie oni odpowiadali za ExPetra.   

Ponowne pojawienie się Crysis

Chociaż wydawało się, że oprogramowanie ransomware Crysis “umarło” w maju 2017 roku po tym, jak opublikowane zostały wszystkie klucze główne, okazuje się, że nie pozostawało martwe długo. W sierpniu zaczęliśmy wykrywać wiele nowych próbek tego oprogramowania ransomware, które okazały się być niemal identycznymi kopiami wcześniej rozprzestrzenianych próbek, za wyjątkiem kilku różnic: posiadały nowe główne klucze publiczne, nowe adresy e-mail, na które ofiary miały skontaktować się z przestępcami, oraz nowe rozszerzenia zaszyfrowanych plików. Wszystko inne pozostało niezmienione – nawet znaczniki czasowe w nagłówkach PE. Po dokładnym zbadaniu starych i nowych próbek nasi analitycy doszli do wniosku, że nowe próbki zostały najprawdopodobniej stworzone poprzez binarne załatanie starych przy użyciu edytora szesnastkowego.        

Wciąż obserwujemy wzrost infekcji RDP

W 2016 roku zaobserwowaliśmy nowy wyłaniający się trend wśród najbardziej rozpowszechnionego oprogramowania ransomware. Zamiast próbować nakłonić ofiarę do uruchomienia szkodliwego pliku wykonywalnego lub wykorzystywać zestawy exploitów, cyberprzestępcy zwrócili się w kierunku innego wektora infekcji. Atakowali metodą siłową loginy zdalnego pulpitu (RDP) oraz hasła na maszynach, które miały włączone RDP i do których można było uzyskać dostęp z internetu.

W 2017 roku podejście to stało się jedną z głównych metod propagacji dla kilku szeroko rozpowszechnionych rodzin, takich jak Crysis, Purgen/GlobeImposter czy Cryakl. To oznacza, że podczas zabezpieczania sieci specjaliści InfoSec powinni mieć na uwadze ten wektor i blokować dostęp do RDP z zewnątrz sieci korporacyjnej.  

Ransomware: rok w liczbach

Trzeba tu podkreślić, że nie należy trzymać się ściśle liczb bezwzględnych, ponieważ odzwierciedlają one zmiany w metodologii wykrywania, podobnie jak ewolucję krajobrazu. Mając to na uwadze, warto rozważyć kilka najważniejszych trendów:

  • Wygląda na to, że poziom innowacji zmniejsza się – w 2017 roku 38 nowych odmian oprogramowania szyfrującego ransomware uznano za wystarczająco interesujące i inne, aby można je było określić jako nowe „rodziny” (dla porównania, w 2016 roku liczba ta wynosiła 62). Być może wynika to z tego, że model oprogramowania ransomware kryptologicznego jest dość ograniczony i twórcom szkodliwego oprogramowania coraz trudniej jest wymyślić coś nowego.       
  • Pojawiło się znacznie więcej modyfikacji nowego i istniejącego oprogramowania ransomware wykrytego w 2017 r.: ponad 96 000 w porównaniu z 54 000 w 2016 r. Wzrost liczby modyfikacji może odzwierciedlać próby zaciemnienia swojego oprogramowania ransomware przez osoby atakujące z uwagi na to, że rozwiązania bezpieczeństwa coraz lepiej radzą sobie z ich wykrywaniem.   
  • Liczba ataków określona liczbą incydentów wymierzonych przeciwko klientom firmy Kaspersky Lab utrzymywała się na dość stałym poziomie. W rzeczywistości, gwałtowne wzrosty odnotowane w 2016 r. zostały zastąpione bardziej równomiernym rozkładem miesięcznym. Łącznie, niemal 950 000 unikatowych użytkowników zostało zaatakowanych w 2017 r., podczas gdy w 2016 roku około 1,5 miliona. Trzeba jednak zaznaczyć, że dane te obejmują zarówno programy szyfrujące (encryptor) jak i ich downloadery; jeśli spojrzymy na liczby odnoszące się wyłącznie do programów szyfrujących, dane dotyczące ataków dla 2017 roku są podobne do tych z 2016 roku. Ma to sens, jeśli weźmiemy pod uwagę fakt, że wiele osób atakujących zaczyna rozprzestrzeniać swoje oprogramowanie ransomware za pomocą innych sposobów, takich jak ataki siłowe na hasła oraz uruchamianie ręczne. Liczby te nie uwzględniają ogromnej liczby komputerów na całym świecie, które nie są chronione przez nasze rozwiązania, a które padły ofiarą WannaCry – liczbę tą oszacowano na około 727 000 unikatowych adresów IP.               
  • Mimo ataków WannaCry, ExPetr oraz BadRabbit, liczba ataków na korporacje wzrosła tylko nieznacznie: o 26,2 proc. w 2017 roku w porównaniu z 22,6 proc. w 2016 roku. Ponad 4 proc. firm zaatakowanych w 2017 r. należało do sektora małych i średnich firm.

Dalsze szczegóły dotyczące tych trendów, łącznie z państwami, które najbardziej ucierpiały, oraz głównymi rodzinami ransomware, można znaleźć w raporcie statystycznym w ramach biuletynu Kaspersky Security Bulletin 2017.   

Według corocznego badania bezpieczeństwa IT firmy Kaspersky Lab:

  • 65 proc. firm, które zostały zaatakowane przez oprogramowanie ransomware w 2017 roku, stwierdziło, że straciło dostęp do znacznej ilości, a nawet wszystkich swoich danych; z kolei 29% przyznało, że zdołali wprawdzie odszyfrować swoje dane, jednak znaczna liczba plików została utracona na zawsze. Liczby te w dużym stopniu pokrywają się z tymi dotyczącymi 2016 roku.    
  • 34 proc. firm, które zostały zaatakowane, potrzebowało tygodni lub dłużej, aby odzyskać pełny dostęp, podczas gdy w 2016 roku ich odsetek wynosił 29 proc. 
  • 36 proc. zapłaciło okup – jednak 17 proc. z nich nigdy nie odzyskało swoich danych (32 i 19 proc. w 2016 r.)

Wniosek: co dalej z ransomware?

W 2017 r. zauważyliśmy, że oprogramowanie ransomware było najprawdopodobniej wykorzystywane przez zaawansowane ugrupowania cyberprzestępcze do przeprowadzania ataków mających na celu bardziej zniszczenie danych niż uzyskanie korzyści finansowych. Liczba ataków na konsumentów, małe i średnie firmy oraz przedsiębiorstwa pozostała wysoka, jednak w atakach tych wykorzystywano głównie istniejący lub zmodyfikowany kod znanych lub generycznych rodzin.   

Czy model biznesowy ransomware zaczyna się załamywać? Czy istnieje bardziej lukratywna alternatywa dla cyberprzestępców motywowanych korzyściami finansowymi? Jedną z możliwości byłoby wydobywanie kryptowaluty. Prognozy Kaspersky Lab dotyczące zagrożeń dla kryptowalut dla 2018 roku sugerują wzrost liczby ataków ukierunkowanych przeprowadzanych w celu instalowania programów służących do wydobywania kryptowaluty. O ile oprogramowanie ransomware zapewnia potencjalnie wysoki, ale jednorazowy dochód, programy służące do wydobywania kryptowaluty mogą przynieść niższe, ale rozłożone na dłuższy okres przychody – co może stanowić kuszącą perspektywę dla wielu osób atakujących w dzisiejszym turbulentnym krajobrazie oprogramowania ransomware. Jednak jedna rzecz jest pewna: ransomware nie zniknie tak po prostu – ani jako bezpośrednie zagrożenie, ani jako przykrywka dla głębszego ataku.    

 

Walka z oprogramowaniem ransomware trwa

  • Poprzez współpracę: 25 lipca 2016 roku ruszyła inicjatywa, uruchomiona wspólnie przez Kaspersky Lab, Policję Holenderską, Europol oraz McAfee. Jest to unikatowy przykład siły współpracy między sektorem publicznym i prywatnym w celu zwalczania cyberprzestępców oraz wsparcia ich ofiar wiedzą ekspercką, wskazówkami oraz narzędziami deszyfracji. Po upływie jednego roku projekt posiada 109 partnerów i jest dostępny w 26 językach. Portal online zawiera 54 narzędzia deszyfracji, które obejmują 104 rodziny oprogramowania ransomware. Jak dotąd odszyfrowanych zostało ponad 28 000 urządzeń, pozbawiając cyberprzestępców około 9,5 miliona dolarów potencjalnego okupu.             
  • Poprzez dane analityczne: Kaspersky Lab monitorował zagrożenie ze strony oprogramowania ransomware od samego początku i jako jeden z pierwszych dostarczał regularne aktualizacje danych analitycznych dot. szkodliwego oprogramowania wyłudzającego okup w celu zwiększenia świadomości w branży. Firma publikuje regularne przeglądy ewoluującego krajobrazu oprogramowania ransomware.    
  • Poprzez technologię: Kaspersky Lab oferuje wielowarstwową ochronę przed tym szeroko rozpowszechnionym i coraz większym zagrożeniem, łącznie z bezpłatnymnarzędziem do ochrony przed oprogramowaniem ransomware, które każdy może pobrać i używać, niezależnie od aktualnie wykorzystywanego rozwiązania bezpieczeństwa. Produkty firmy zawierają kolejną warstwę technologii: Kontrolę systemu, która potrafi zablokować i cofnąć szkodliwe zmiany na urządzeniu, takie jak szyfrowanie plików lub zablokowanie dostępu do monitora.