Atak ramsomware – analiza przypadku Uniwersytetu w Maastricht

Opis ataku

Ponieważ jest to sprawa z happy endem postanowiliśmy zająć się samym atakiem, którego szczegóły ujawnił UM. To dość szczegółowy wgląd w klasyczny ukierunkowany atak ransomware opisywany przez Securityweek w 2020 roku.

Proces szyfrowania rozpoczął się 23 grudnia 2019 r. Do 29 grudnia 2019 r. UM doszedł do wniosku, że jedynym realistycznym sposobem postępowania jest zapłacenie okupu i zakup klucza odszyfrowywania. Odbudowa infrastruktury zajęłaby miesiące – nawet gdyby była możliwa – a materiał badawczy byłby nie do odzyskania. W międzyczasie studenci nie byliby w stanie efektywnie pracować i nie mogliby zdawać egzaminów.

Wtargnięcie rozpoczęło się 15 października. Dostarczono serię e-maili phishingowych, z których dwa zakończyły się sukcesem na różnych stacjach roboczych 15 i 16 października. Atakujący przebywał w sieci UM przez ponad dwa miesiące przed rozpoczęciem szyfrowania i był w stanie zbadać topologię i zadać maksymalne szkody.

Atakującym była grupa znana jako TA505. „Modus operandi grupy stojącej za tym konkretnym atakiem” – powiedział Fox-IT w raporcie kryminalistycznym zleconym przez UM – „pojawia się z grupą przestępczą, która ma już długą historię, co najmniej od 2014 roku. często określany publicznie jako „TA505”, a także „GraceRAT”, nazwany na cześć jednego z narzędzi używanych przez grupę”.

Obie udane wiadomości phishingowe zostały napisane w języku angielskim, z linkami prowadzącymi do dokumentu Excel. Dokumenty te zawierały makro, które pobierało trojana zdalnego dostępu SDBBot z adresów IP odpowiednio 185.225.17(.)99 i 185.212.128(.)146.

Po udanym phishingu TA505 uzyskał dostęp do kilku serwerów UM. Jeden z nich nie został w pełni załatany, a grupa była w stanie uzyskać pełne prawa w całej infrastrukturze. Grupa nadzorowała topologię i była w stanie zebrać wiele nazw użytkowników i haseł kont. 23 grudnia 2019 r. atakujący pomyślnie wdrożył oprogramowanie ransomware CLOP na 267 serwerach UM. Fox-IT nie znalazł żadnych oznak, że jakiekolwiek dane osobowe lub badawcze zostały skradzione, ale nie był w stanie definitywnie wykluczyć takiej możliwości. Niemniej jednak UM zlecił Fox-IT przeprowadzenie oddzielnego dochodzenia, aby to potwierdzić.

Zalecenia po ataku

Na podstawie analizy ataku firma kryminalistyczna sformułowała cztery główne zalecenia: poprawić zarządzanie podatnością i poprawkami, zwiększyć segmentację w sieci, wdrożyć lub ulepszyć monitorowanie sieci i logów oraz przećwiczyć różne scenariusze reagowania kryzysowego.

Ze swojej strony UM zaakceptował zalecenia, ale wyjaśnia trudności, z jakimi borykają się wszystkie uczelnie: znalezienie właściwej równowagi, jak stwierdził we własnym raporcie „między optymalnym bezpieczeństwem cyfrowym a zapewnieniem otwartego i przejrzystego środowiska dla studentów i badaczy.” Wniosek jest taki, że należy poświęcić pewną otwartość na rzecz poprawy bezpieczeństwa we współczesnym cyberświecie.

Od tego ataku Uniwersytet udoskonalił szkolenia w zakresie świadomości bezpieczeństwa oraz narzędzia służące lepszemu wykrywaniu phishingu. Poprawił system wdrażania poprawek, ale zwraca uwagę na źródła problemu: „UM otrzymuje około 100 000 aktualizacji rocznie, z których wszystkie muszą być przetworzone na 1647 serwerach i 7307 stacjach roboczych”. Niemniej w raporcie UM zapewnił, że zrewiduje swoją obecną segmentację i poprawi kontrolę nad kontami administratorów. Podobno stosuje już segmentację, ale przyznaje, że jej sieci V-LAN „są dla siebie stosunkowo otwarte, aby zagwarantować otwartość sieci, a także ułatwić zdecentralizowane zarządzanie i korzystanie z infrastruktury UM”.

Dwa obszary, które wykraczają poza podstawowe zalecenia Fox-IT, obejmują rozwój bazy danych zarządzania konfiguracją i poprawę reżimu tworzenia kopii zapasowych. Uczelnia przyznaje, że brak zrozumienia własnej infrastruktury utrudniał jej odpowiedź. „Nie było wystarczających informacji na temat liczby aktywnych i nieaktywnych systemów komputerowych i serwerowych w domenie UM”.

Przyznaje również, że brak kopii zapasowej poza siedzibą firmy było błędem. Istniejące kopie zapasowe miały przede wszystkim zapewnić natychmiastową ciągłość i w związku z tym były online. „Cyberatakujący był w stanie zaszyfrować te kopie zapasowe online z kilku krytycznych systemów” — informuje. „Trzeba temu zapobiec w przyszłości”. Od czasu ataku wykonał „kopie zapasowe offline i online dla każdego krytycznego systemu”.