Menu dostępności

Atak ramsomware – analiza przypadku Uniwersytetu w Maastricht

Do napisania tego postu skłoniły nas informacje, które pojawiły się w sobotę. Holenderski uniwersytet, który padł ofiarą masowego ataku oprogramowania ransomware, częściowo otrzymał z powrotem skradzione pieniądze… Wartość okupu wzrosła w tzw. międzyczasie ponad dwukrotnie. Mówimy tutaj o Uniwersytecie z Maastricht, który w 2019 r. został dotknięty dużym cyberatakiem. Przestępcy wykorzystali oprogramowanie ransomware.

„Przestępcy zaszyfrowali setki serwerów Windows i systemów tworzenia kopii zapasowych, uniemożliwiając 25 000 studentom i pracownikom dostęp do danych naukowych, bibliotek i poczty” — podał dziennik De Volkskrant.

Hakerzy zażądali 240 000 euro w bitcoinach. „Po tygodniu Uniwersytet zdecydował się przychylić do żądań gangu przestępczego” – czytamy w gazecie. „Było to częściowo spowodowane niebezpieczeństwem utraty danych osobowych, a studenci nie byli w stanie przystąpić do egzaminu ani pracować nad swoimi pracami dyplomowymi” – napisano.

Holenderska policja namierzyła część okupu. Kryptowaluta była wpłacona na konto należące do osoby zajmującej się praniem brudnych pieniędzy na Ukrainie.

Prokuratorzy w 2020 roku przejęli konto tego człowieka, które zawierało wiele różnych kryptowalut, w tym część okupu zapłaconego przez Maastricht.

„Kiedy, po ponad dwóch latach, udało się wreszcie odzyskać te pieniądze, wartość kryptowaluty wzrosła z 240 000 euro do pół miliona euro” – czytamy w gazecie.

Uniwersytet w Maastricht odbierze teraz 500 000 euro (ok. 521 000 USD).

„Te pieniądze nie trafią do ogólnego funduszu, ale do funduszu pomagającego finansowo ubogim studentom” – powiedział dyrektor ds. ICT Uniwersytetu w Maastricht, Michiel Borgers.


Opis ataku

Ponieważ jest to sprawa z happy endem postanowiliśmy zająć się samym atakiem, którego szczegóły ujawnił UM. To dość szczegółowy wgląd w klasyczny ukierunkowany atak ransomware opisywany przez Securityweek w 2020 roku.

Proces szyfrowania rozpoczął się 23 grudnia 2019 r. Do 29 grudnia 2019 r. UM doszedł do wniosku, że jedynym realistycznym sposobem postępowania jest zapłacenie okupu i zakup klucza odszyfrowywania. Odbudowa infrastruktury zajęłaby miesiące – nawet gdyby była możliwa – a materiał badawczy byłby nie do odzyskania. W międzyczasie studenci nie byliby w stanie efektywnie pracować i nie mogliby zdawać egzaminów.

Wtargnięcie rozpoczęło się 15 października. Dostarczono serię e-maili phishingowych, z których dwa zakończyły się sukcesem na różnych stacjach roboczych 15 i 16 października. Atakujący przebywał w sieci UM przez ponad dwa miesiące przed rozpoczęciem szyfrowania i był w stanie zbadać topologię i zadać maksymalne szkody.

Atakującym była grupa znana jako TA505. „Modus operandi grupy stojącej za tym konkretnym atakiem” – powiedział Fox-IT w raporcie kryminalistycznym zleconym przez UM – „pojawia się z grupą przestępczą, która ma już długą historię, co najmniej od 2014 roku. często określany publicznie jako „TA505”, a także „GraceRAT”, nazwany na cześć jednego z narzędzi używanych przez grupę”.

Obie udane wiadomości phishingowe zostały napisane w języku angielskim, z linkami prowadzącymi do dokumentu Excel. Dokumenty te zawierały makro, które pobierało trojana zdalnego dostępu SDBBot z adresów IP odpowiednio 185.225.17(.)99 i 185.212.128(.)146.

Po udanym phishingu TA505 uzyskał dostęp do kilku serwerów UM. Jeden z nich nie został w pełni załatany, a grupa była w stanie uzyskać pełne prawa w całej infrastrukturze. Grupa nadzorowała topologię i była w stanie zebrać wiele nazw użytkowników i haseł kont. 23 grudnia 2019 r. atakujący pomyślnie wdrożył oprogramowanie ransomware CLOP na 267 serwerach UM. Fox-IT nie znalazł żadnych oznak, że jakiekolwiek dane osobowe lub badawcze zostały skradzione, ale nie był w stanie definitywnie wykluczyć takiej możliwości. Niemniej jednak UM zlecił Fox-IT przeprowadzenie oddzielnego dochodzenia, aby to potwierdzić.


Zalecenia po ataku

Na podstawie analizy ataku firma kryminalistyczna sformułowała cztery główne zalecenia: poprawić zarządzanie podatnością i poprawkami, zwiększyć segmentację w sieci, wdrożyć lub ulepszyć monitorowanie sieci i logów oraz przećwiczyć różne scenariusze reagowania kryzysowego.

Ze swojej strony UM zaakceptował zalecenia, ale wyjaśnia trudności, z jakimi borykają się wszystkie uczelnie: znalezienie właściwej równowagi, jak stwierdził we własnym raporcie „między optymalnym bezpieczeństwem cyfrowym a zapewnieniem otwartego i przejrzystego środowiska dla studentów i badaczy.” Wniosek jest taki, że należy poświęcić pewną otwartość na rzecz poprawy bezpieczeństwa we współczesnym cyberświecie.

Od tego ataku Uniwersytet udoskonalił szkolenia w zakresie świadomości bezpieczeństwa oraz narzędzia służące lepszemu wykrywaniu phishingu. Poprawił system wdrażania poprawek, ale zwraca uwagę na źródła problemu: „UM otrzymuje około 100 000 aktualizacji rocznie, z których wszystkie muszą być przetworzone na 1647 serwerach i 7307 stacjach roboczych”. Niemniej w raporcie UM zapewnił, że zrewiduje swoją obecną segmentację i poprawi kontrolę nad kontami administratorów. Podobno stosuje już segmentację, ale przyznaje, że jej sieci V-LAN „są dla siebie stosunkowo otwarte, aby zagwarantować otwartość sieci, a także ułatwić zdecentralizowane zarządzanie i korzystanie z infrastruktury UM”.

Dwa obszary, które wykraczają poza podstawowe zalecenia Fox-IT, obejmują rozwój bazy danych zarządzania konfiguracją i poprawę reżimu tworzenia kopii zapasowych. Uczelnia przyznaje, że brak zrozumienia własnej infrastruktury utrudniał jej odpowiedź. „Nie było wystarczających informacji na temat liczby aktywnych i nieaktywnych systemów komputerowych i serwerowych w domenie UM”.

Przyznaje również, że brak kopii zapasowej poza siedzibą firmy było błędem. Istniejące kopie zapasowe miały przede wszystkim zapewnić natychmiastową ciągłość i w związku z tym były online. „Cyberatakujący był w stanie zaszyfrować te kopie zapasowe online z kilku krytycznych systemów” — informuje. „Trzeba temu zapobiec w przyszłości”. Od czasu ataku wykonał „kopie zapasowe offline i online dla każdego krytycznego systemu”.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

W środę 9 października użytkownicy platformy Microsoft Azure na całym świecie doświadczyli poważnych zakłóceń. Wiele usług stało się niedostępnych, a administratorzy nie mogli nawet zalogować się do portalu...
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Niedawno załatana wysoce poważna luka w zabezpieczeniach VMware jest wykorzystywana jako zero-day od października 2024 roku do wykonywania kodu z podwyższonymi uprawnieniami. Taką informacją podzieliło się w...
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Splunk opublikował ważne informacje, dotyczące szeregu nowych podatności w swoich produktach Splunk Enterprise i Splunk Cloud Platform. Luki mogą umożliwić atakującym wykonanie nieautoryzowanego kodu Ja...