Atak ramsomware - analiza przypadku Uniwersytetu w Maastricht

Do napisania tego postu skłoniły nas informacje, które pojawiły się w sobotę. Holenderski uniwersytet, który padł ofiarą masowego ataku oprogramowania ransomware, częściowo otrzymał z powrotem skradzione pieniądze… Wartość okupu wzrosła w tzw. międzyczasie ponad dwukrotnie. Mówimy tutaj o Uniwersytecie z Maastricht, który w 2019 r. został dotknięty dużym cyberatakiem. Przestępcy wykorzystali oprogramowanie ransomware.

„Przestępcy zaszyfrowali setki serwerów Windows i systemów tworzenia kopii zapasowych, uniemożliwiając 25 000 studentom i pracownikom dostęp do danych naukowych, bibliotek i poczty” — podał dziennik De Volkskrant.

Hakerzy zażądali 240 000 euro w bitcoinach. „Po tygodniu Uniwersytet zdecydował się przychylić do żądań gangu przestępczego” – czytamy w gazecie. „Było to częściowo spowodowane niebezpieczeństwem utraty danych osobowych, a studenci nie byli w stanie przystąpić do egzaminu ani pracować nad swoimi pracami dyplomowymi” – napisano.

Holenderska policja namierzyła część okupu. Kryptowaluta była wpłacona na konto należące do osoby zajmującej się praniem brudnych pieniędzy na Ukrainie.

Prokuratorzy w 2020 roku przejęli konto tego człowieka, które zawierało wiele różnych kryptowalut, w tym część okupu zapłaconego przez Maastricht.

„Kiedy, po ponad dwóch latach, udało się wreszcie odzyskać te pieniądze, wartość kryptowaluty wzrosła z 240 000 euro do pół miliona euro” – czytamy w gazecie.

Uniwersytet w Maastricht odbierze teraz 500 000 euro (ok. 521 000 USD).

„Te pieniądze nie trafią do ogólnego funduszu, ale do funduszu pomagającego finansowo ubogim studentom” – powiedział dyrektor ds. ICT Uniwersytetu w Maastricht, Michiel Borgers.

Autor: Kapitan Hack Data dodania: 4 lip 2022 09:17 7 min czytania

Opis ataku

Ponieważ jest to sprawa z happy endem postanowiliśmy zająć się samym atakiem, którego szczegóły ujawnił UM. To dość szczegółowy wgląd w klasyczny ukierunkowany atak ransomware opisywany przez Securityweek w 2020 roku.

Proces szyfrowania rozpoczął się 23 grudnia 2019 r. Do 29 grudnia 2019 r. UM doszedł do wniosku, że jedynym realistycznym sposobem postępowania jest zapłacenie okupu i zakup klucza odszyfrowywania. Odbudowa infrastruktury zajęłaby miesiące – nawet gdyby była możliwa – a materiał badawczy byłby nie do odzyskania. W międzyczasie studenci nie byliby w stanie efektywnie pracować i nie mogliby zdawać egzaminów.

Wtargnięcie rozpoczęło się 15 października. Dostarczono serię e-maili phishingowych, z których dwa zakończyły się sukcesem na różnych stacjach roboczych 15 i 16 października. Atakujący przebywał w sieci UM przez ponad dwa miesiące przed rozpoczęciem szyfrowania i był w stanie zbadać topologię i zadać maksymalne szkody.

Atakującym była grupa znana jako TA505. „Modus operandi grupy stojącej za tym konkretnym atakiem” – powiedział Fox-IT w raporcie kryminalistycznym zleconym przez UM – „pojawia się z grupą przestępczą, która ma już długą historię, co najmniej od 2014 roku. często określany publicznie jako „TA505”, a także „GraceRAT”, nazwany na cześć jednego z narzędzi używanych przez grupę”.

Obie udane wiadomości phishingowe zostały napisane w języku angielskim, z linkami prowadzącymi do dokumentu Excel. Dokumenty te zawierały makro, które pobierało trojana zdalnego dostępu SDBBot z adresów IP odpowiednio 185.225.17(.)99 i 185.212.128(.)146.

Po udanym phishingu TA505 uzyskał dostęp do kilku serwerów UM. Jeden z nich nie został w pełni załatany, a grupa była w stanie uzyskać pełne prawa w całej infrastrukturze. Grupa nadzorowała topologię i była w stanie zebrać wiele nazw użytkowników i haseł kont. 23 grudnia 2019 r. atakujący pomyślnie wdrożył oprogramowanie ransomware CLOP na 267 serwerach UM. Fox-IT nie znalazł żadnych oznak, że jakiekolwiek dane osobowe lub badawcze zostały skradzione, ale nie był w stanie definitywnie wykluczyć takiej możliwości. Niemniej jednak UM zlecił Fox-IT przeprowadzenie oddzielnego dochodzenia, aby to potwierdzić.

Zalecenia po ataku

Na podstawie analizy ataku firma kryminalistyczna sformułowała cztery główne zalecenia: poprawić zarządzanie podatnością i poprawkami, zwiększyć segmentację w sieci, wdrożyć lub ulepszyć monitorowanie sieci i logów oraz przećwiczyć różne scenariusze reagowania kryzysowego.

Ze swojej strony UM zaakceptował zalecenia, ale wyjaśnia trudności, z jakimi borykają się wszystkie uczelnie: znalezienie właściwej równowagi, jak stwierdził we własnym raporcie „między optymalnym bezpieczeństwem cyfrowym a zapewnieniem otwartego i przejrzystego środowiska dla studentów i badaczy.” Wniosek jest taki, że należy poświęcić pewną otwartość na rzecz poprawy bezpieczeństwa we współczesnym cyberświecie.

Od tego ataku Uniwersytet udoskonalił szkolenia w zakresie świadomości bezpieczeństwa oraz narzędzia służące lepszemu wykrywaniu phishingu. Poprawił system wdrażania poprawek, ale zwraca uwagę na źródła problemu: „UM otrzymuje około 100 000 aktualizacji rocznie, z których wszystkie muszą być przetworzone na 1647 serwerach i 7307 stacjach roboczych”. Niemniej w raporcie UM zapewnił, że zrewiduje swoją obecną segmentację i poprawi kontrolę nad kontami administratorów. Podobno stosuje już segmentację, ale przyznaje, że jej sieci V-LAN „są dla siebie stosunkowo otwarte, aby zagwarantować otwartość sieci, a także ułatwić zdecentralizowane zarządzanie i korzystanie z infrastruktury UM”.

Dwa obszary, które wykraczają poza podstawowe zalecenia Fox-IT, obejmują rozwój bazy danych zarządzania konfiguracją i poprawę reżimu tworzenia kopii zapasowych. Uczelnia przyznaje, że brak zrozumienia własnej infrastruktury utrudniał jej odpowiedź. „Nie było wystarczających informacji na temat liczby aktywnych i nieaktywnych systemów komputerowych i serwerowych w domenie UM”.

Przyznaje również, że brak kopii zapasowej poza siedzibą firmy było błędem. Istniejące kopie zapasowe miały przede wszystkim zapewnić natychmiastową ciągłość i w związku z tym były online. „Cyberatakujący był w stanie zaszyfrować te kopie zapasowe online z kilku krytycznych systemów” — informuje. „Trzeba temu zapobiec w przyszłości”. Od czasu ataku wykonał „kopie zapasowe offline i online dla każdego krytycznego systemu”.