Ostatnio w świecie cyberbezpieczeństwa pojawiło się sporo informacji opisujących wyrafinowane ataki ransomware i mutujących niczym koronawirusy malware, prowadzących ostatecznie do zaszyfrowania danych i żądania okupu. Specjaliści i naukowcy ostrzegają, że kampanie ransomware są dzisiaj o wiele bardziej przemyślane, i co ważniejsze, sterowane przez człowieka przez cały proces ataku. Automatycznie rozprzestrzeniające się złośliwe oprogramowanie takie jak WannaCry czy NotPetya, nie jest już topowym zagrożeniem. Zostaje szybko wykryte bądź na samym starcie okazuje się nieskuteczne, ponieważ próbuje wykorzystać stare podatności, dawno załatane w atakowanych środowiskach. Nowoczesne ransomware’y, takie jak REvil, Bitpaymer czy Ryuk działają w przemyślany i indywidualny sposób. Są poprzedzane kampaniami targetowanymi do konkretnych firm i organizacji. Nie skupiają się wyłącznie na dostaniu się do repozytorium z cennymi informacjami, ale polegają na konkretnej zaplanowanej ścieżce ataku (Killchain).
Strategia „Smash-and-Grab”
O jednym z obserwowanych trendów odnośnie ransomware ostrzega sam Microsoft. Metody „Smash-and-Grab”, które kończą się zazwyczaj zaszyfrowaniem danych, polegają na przeprowadzeniu włamania za pomocą brute-force, robieniu jak największych zniszczeń i zamieszania, i ostatecznie kradzieży bądź zaszyfrowania danych. Wszystko to w mniej niż godzinę, tak aby zminimalizować szansę na interwencję.
Badacze z Microsoft przez 18 miesięcy śledzili działania popularnej grupy hackerskiej „Parinacota”, która odpowiedzialna jest za stworzenie i wdrażanie złośliwego oprogramowania o nazwie „Dharma”. Hackerzy podobno zbierają pokaźne żniwa i tygodniowo infekują od 3 do 5 organizacji. Działają właśnie zgodnie z zasadą „Smash-and-Grab”. Najpierw brutalnie dostają się na podatne serwery za pomocą RDP wystawionego do Internetu, a następnie skanują sieć w poszukiwaniu innych hostów w celu przeskoków i ruchu bocznego po całej organizacji. Wreszcie dokonują kradzieży poświadczeń, wdrażają ukryte złośliwe oprogramowanie do kopania kryptowalut i dostarczają ostateczny ładunek ransomware. Wszystko to w ekspresowym tempie poniżej 1 godziny.
Cyberprzestępcy z Parinacota odznaczają się także indywidualnym podejściem do atakowanych celów. Każda ścieżka ataku, każdy wykorzystany exploit oraz każda wartość okupu jest inna i dostosowywana do organizacji, tak aby była jak najbardziej skuteczna. To właśnie odznacza nowoczesny ransomware według Microsoft. Ataki są planowane, dużo skuteczniejsze oraz sterowane zdalnie przez czynnik ludzki.
Strategia „Commodity Malware”
Inną ciekawą metodą infekcji, która jest coraz bardziej popularna, jest zaciemnianie ładunku ransomware, innym, znanym, pospolitym złośliwym oprogramowaniem. Wykorzystuje się do tego na przykład trojany bankowe, takie jak Emotet czy TrickBot. Takie wektory ataku są postrzegane jako mało wyszukane i mało groźne, co powoduje niewłaściwe usuwanie skutków infekcji i umożliwia zdalnym operatorom ransomware przedostanie się do organizacji i uniknięcia wykrycia. W porównaniu do wcześniejszej metody – „Smash-and-Grab”, ta cechuje się podstępnym i cichym dostarczeniem ładunku szyfrującego dane.
Metoda ta okazała się skuteczna w przypadku ataku ransomware Ryuk na firmę Epiq Global, który spowodował, że organizacja świadcząca usługi prawne na całym świecie musiała przejść w tryb off-line. Według doniesień, atak rozpoczął się już w grudniu, gdy szkodliwe oprogramowanie TrickBot zainfekowało jeden z komputerów w sieci Epiq. TrickBot podobno utworzył odwrotną powłokę (ang. reverse shell) i tym samym umożliwił cyberprzestępcom na zdalny dostęp do reszty urządzeń sieciowych i szyfrowanie plików.
Podobną akcję przeprowadzono niedawno atakując firmy Tesla i SpaceX. Ransomware o nazwie DoppelPaymer ukrywał się tutaj pod postacią znanego trojana Dridex, który dostał się do sieci poprzez fałszywą aktualizację zaufanego oprogramowania. Część danych Tesla i SpaceX zostało nie tylko zaszyfrowanych, ale i skradzionych.
Czas polepszyć linię obrony
Zapobieganie opisywanym incydentom wymaga przede wszystkim zmiany sposobu myślenia. Zespół odpowiadający za bezpieczeństwo musi skoncentrować się na kompleksowej ochronie, która będzie w stanie spowolnić lub powstrzymać atakujących podczas każdej fazy ataku. Nie warto skupiać się tylko i wyłącznie na ochronie brzegowej i monitorowaniu wszelkich prób dostarczenia malware, gdyż w końcu hackerzy i tak znajdą metodę na niezauważalne dostanie się do sieci.
Specjaliści z Microsoft zalecają, aby każde potencjalne zagrożenie traktować jako włamanie i przyznawać mu odpowiednio wysoki priorytet w celu szybkiej inwestygacji i ewentualnego załagodzenia. Wszystkie znane wirusy i trojany należy zawsze oglądać indywidualnie i weryfikować ich zawartość oraz zachowanie.