Oprogramowanie ransomware jest poważnym problemem dla wszystkich organizacji, nie tylko tych największych i z najbardziej wrażliwymi danymi. Przez ostatnie kilka lat diametralnie wzrosła liczba udanych ataków wymuszających okup na ofiarach. Zawsze jednak pojawia się pytanie, jak można najlepiej ochronić swoją sieć. W przypadku ransomware zdecydowanie lepiej zapobiegać niż leczyć, bo tutaj akurat działanie po szkodzie może nie przynieść żadnego rezultatu, nawet zapłata okupu.
W tym artykule postaramy się przybliżyć najpopularniejsze w ostatnim roku wektory ataku oraz wykorzystane techniki, które dostarczały ransomware do sieci wewnętrznej organizacji. Należy wziąć pod uwagę fakt, że oprogramowanie ransomware szybko przeszło w model Ransomware as a Service (RaaS), w którym partnerzy otrzymują cały arsenał oraz instrukcje wymagane do realizacji ich celów. Biorąc pod uwagę prostotę tego podejścia i fakt, że taktyka jest powtarzalna, istnieje szereg środków zapobiegawczych, które można podjąć już na pierwszej linii obrony. Poniżej wektory ataków ransomware oraz od razu ich mitygacja.


Niezabezpieczona usługa Remote Desktop

Stary i lubiany Microsoft Remote Desktop Protocol. Chociaż jest to świetny sposób na połączenie się ze zdalnym urządzeniem, tak naprawdę nie powinien istnieć w publicznych sieciach. Jeśli widzisz w logach na swoim urządzeniu setki nieudanych logowań, których nie jesteś w stanie wytłumaczyć, może istnieć problem z udostępnieniem usługi RDP do Internetu.
Stosowanie takiej praktyki w połączeniu ze słabymi zabezpieczeniami sieci, słabymi danymi uwierzytelniającymi (domenowymi lub lokalnymi), brakiem polityki blokowania, to ogromne ryzyko dostania się ransomware do sieci. Niestety ostatnio jest to szczególnie powszechne w środowiskach chmurowych, w których obrazy kompilacji dziedziczą luki w zabezpieczeniach poprzez słabą konfigurację i umożliwiają użytkownikom szybkie tworzenie podatnej infrastruktury.
Sama usługa RDP, nie tylko wystawiona na świat, zwierała w swojej historii wiele krytycznych podatności, które zostały już załatane przez Microsoft, ale niezaktualizowane systemy mogą wciąż być narażone na ataki. Warto zapoznać się z naszymi wpisami: o atakach na RDP, a także z artykułem “Jak bezpiecznie korzystać z protokołu RDP w organizacji?”.

Łagodzenie ryzyka:
Przy łączeniu zdalnym do zasobów warto po prostu korzystać z sieci VPN. Wtedy zasoby nie są wystawione publicznie. Przy uwierzytelnieniu najlepiej wdrożyć dodatkowy składnik (MFA).
Ograniczyć dostęp do hostów przez RDP za pomocą wbudowanej reguły lokalnej „Remote Desktop Users”. Powinno się pilnować procesu kreowania nowych maszyn z szablonów obrazów, szczególnie pod kątem domyślnej konfiguracji dostępu zdalnego. Jest to luka, która pojawia się nagminnie w środowiskach deweloperskich i testowych.


ProxyShell

ProxyShell jest to zbiorcza nazwa używana do opisu luk w zabezpieczeniach, które pojawiły się między kwietniem a lipcem 2021 roku i dotyczą serwerów on-premise Microsoft Exchange. Pisaliśmy o tym w innym artykule, dlatego pozwolimy sobie tylko wymienić podatności i ich skutki:

  • Obejście ACL (CVE-2021-34473)
  • Eskalacja uprawnień (CVE-2021-34523)
  • Zdalne wykonanie kodu (CVE-2021-31207)

Ze względu na to, że infrastruktura Exchange w organizacji musi być w przynajmniej jednym punkcie wystawiona na zewnątrz, atakujący i pośrednicy gangów ransomware skanują często cały Internet w poszukiwaniu podanych serwerów Exchange. Luki ProxyShell są banalne do wykorzystania i dają od razu pełnię możliwości w środowisku ofiary. Do dystrybucji ransomware są wiec idealne i były szeroko stosowane w 2021 roku.

Łagodzenie ryzyka:
Łatanie! W maju 2021 r. Microsoft opublikował łatki, które łagodzą luki w serwerach Exchange. Ich numery to:

  • KB5001779
  • KB5003435

Dla niektórych organizacji dobrą alternatywą będzie przejście na pocztę chmurową, jak Microsoft Exchange Online lub Microsoft 365. Powszechnie nie są znane żadne naruszenia w tych środowiskach. SaaS z dobrymi zabezpieczeniami stanowi ciekawą alternatywę i tworzy naturalną barierę dla sieci lokalnej organizacji.


Urządzenia brzegowe

Możemy nawet zaklasyfikować brzegowy serwer Exchange w tej kategorii, jednak chodzi nam tutaj o coś innego. O urządzenia sieciowe, które są niezbędne w każdej organizacji, nawet takiej, która praktycznie każdą usługę wyniosła już do modelu SaaS. Chodzi nam o podstawowe sieciowe urządzenia brzegowe takie jak Firewall, Router czy Koncentrator VPN. Podatności i błędy konfiguracji w tych urządzeniach są nagminnie wykorzystywane przez hackerów w celu dostarczenia ransomware do całej sieci wewnętrznej.
Firewall’e i inne rozwiązania w zakresie ochrony obwodowej stały się coraz bardziej złożone i oferują szeroką gamę usług poza zezwalaniem i odmawianiem ruchu sieciowego. W zasadzie są to serwery z systemem operacyjnym, który też musi być odpowiednio zabezpieczony.
Doskonałym tego przykładem jest ostatnia wykryta luka w routerach Cisco, która jak się okazuje nie otrzyma łatki od producenta z uwagi na koniec wsparcia dla tej klasy urządzeń.
Kolejnym przykładem może być podatność w urządzeniach FortiGate, CVE-2018-13379. Sama luka polegała na przeszukiwaniu katalogów, ale zapewniała dostęp do poufnych plików zawierających hasła w postaci zwykłego tekstu. Czyli idealny przepis na katastrofę i atak ransomware. Nazwa użytkownika i hasło mogą być używane do uwierzytelniania w sieci VPN i zapewniają cyberprzestępcom przyczółek w sieci wewnętrznej.

Łagodzenie ryzyka:
Po raz kolejny – wczesne instalowanie poprawek. Biorąc pod uwagę położenie tych urządzeń, które są celowo wystawione na ataki cyberprzestępców i mają ich trzymać na dystans, mogą w rzeczywistości być celem w pierwszej kolejności. Warto upewnić się, że polityka bezpieczeństwa nakazuje wczesną instalacje poprawek.
Niestosowanie starego sprzętu. Wszyscy wiemy, że zmiana routera czy firewall’a na nowszy model nie jest prosta, ale starsze urządzenia zwykle są o wiele bardziej podatne na ataki i istnieje duże prawdopodobieństwo, że odkryta zostanie w nich podatność zero-day.
Pilnowanie dostępu do urządzeń brzegowych. Chodzi tutaj zarówno o dostęp sieciowy od strony wewnętrznej, jak i dostęp fizyczny. Niepowołana osoba może w ciągu kilku minut z poziomu takich urządzeń stworzyć sobie tylną furtkę do środowiska ofiary.


Phishing e-mail

To chyba najbardziej znana i oczywista metoda. Dostarczenie do sieci organizacji złośliwego ransomware na stacje końcową użytkownika – najprościej wykonać to poprzez dedykowany phishing. Precyzyjne wiadomości wysłane w dobrym momencie do odpowiedniej osoby mogą z łatwością oszukać ofiarę i nakłonić ją do kliknięcia w link lub załącznik. O samym phishingu i jak go wykryć pisaliśmy tutaj.

Łagodzenie ryzyka:
Najprostszym sposobem będzie ograniczenie możliwości otrzymywania załączników czy linków z adresów spoza organizacji lub chociaż dodanie ostrzeżenia do takich wiadomości. Jest to możliwe praktycznie w każdej popularnej bramce mailowej.
Niezastąpioną metodą w walce z technikami socjotechniki jest szkolenie dla pracowników. Pokazujące na żywym przykładzie jak taki atak jak przygotowywany i jak wygląda oraz jak można go rozpoznać samemu.


Podsumowanie

Jeśli obawiasz się ransomware i właśnie jesteś w trakcie przeglądu polityki bezpieczeństwa w organizacji, to ten artykuł jest dla Ciebie. Zebrane metody dotyczą najpopularniejszych technik infekcji ransomware w roku 2021 i 2022, według UpGuard oraz VirusTotal. Wszystkie z nich na pewną są stale wykorzystywane w kampaniach ransomware, gdyż niestety wiele organizacji nie stosuje się do podstawowych zasad higieny sieci wewnętrznej i dobrych praktyk bezpieczeństwa.

Podziel się z innymi tym artykułem!