Zestawienie tygodniowe 18 – 25 maja

Jak Twoja firma wygląda w Darknet?

ImmuniWeb, firma zajmująca się bezpieczeństwem w sieci, udostępniła w tym tygodniu bezpłatne narzędzie, które pozwala firmom i organizacjom rządowym sprawdzić ekspozycję na „ciemną sieć”.

Nowa funkcja, zintegrowana z testem zabezpieczeń domeny ImmuniWeb, zapewnia organizacjom wszystkich typów opcję sprawdzenia ich aktualnej ekspozycji, po prostu wpisując adres URL swojej głównej witryny. ImmuniWeb, który twierdzi, że codziennie obsługuje średnio 50 000 bezpłatnych testów, śledzi fora hakerskie i podziemne rynki, a także dedykowane kanały IRC i czaty Telegram, wklejają strony internetowe i inne lokalizacje w głębokiej, ciemnej i powierzchniowej sieci, gdzie skradzione dane są oferowane, wymieniane lub reklamowane. Takie dane często obejmują skradzione dane logowania z naruszonych stron internetowych, serwerów i platform SaaS oraz inne wycieki danych.

Tym, którzy korzystają z bezpłatnej usługi, firma zapewnia wyniki, które obejmują ogólną ilość, ocenę ryzyka i klasyfikację danych, bez wyświetlania loginów i haseł. Dalsze informacje na temat incydentów są dostępne tylko po weryfikacji tożsamości.

Bezpłatna usługa ImmuniWeb w wersji Community Edition pomaga również organizacjom identyfikować nieaktualne i niezabezpieczone oprogramowanie na swoich stronach internetowych; sprawdzić zgodność z wymogami RODO i PCI DSS; wykrywać luki w zabezpieczeniach oraz problemy z szyfrowaniem i prywatnością w aplikacjach mobilnych; oraz pozwala upewnić się, że serwery internetowe i e-mailowe prawidłowo szyfrują ruch i spełniają wymagania.

Maszyna wirtualna zabezpiecza ransomware przed wykryciem

Przyzwyczajamy się, że złośliwe oprogramowanie staje się coraz bardziej wyszukane. W tym tygodniu Sophos ujawnli, że oprogramowanie ransomware Ragnar Locker wdraża pełną maszynę wirtualną, aby uniknąć wykrycia.

Cyberprzestępcy stojący za Ragnar Locker wykorzystują różne exploity lub celują w połączenia protokołu RDP (Remote Desktop Protocol) w celu naruszenia bezpieczeństwa sieci, a także kradną dane z sieci docelowych przed wdrożeniem oprogramowania ransomware, aby zachęcić ofiary do zapłacenia okupu. W ramach niedawno zaobserwowanego ataku oprogramowanie ransomware zostało wykonane na maszynie wirtualnej z Windows XP na hoście Oracle VirtualBox. W tym celu atakujący użyli Windows Group Policy Object (GPO) do wykonania msiexec.exe oraz pobrania i zainstalowania pakietu MSI o pojemności 122 MB. Pakiet zawierał stary hypervisor Oracle VirtualBox (Sun xVM VirtualBox w wersji 3.0.4 z 5 sierpnia 2009) oraz plik obrazu dysku wirtualnego (VDI) – obraz zredukowanej wersji Windows XP SP3 – który zawiera plik wykonywalny ransomware Ragnar Locker.

MSI wdraża również plik wykonywalny, plik wsadowy i kilka plików pomocniczych. Skrypt wsadowy rejestruje i uruchamia rozszerzenia aplikacji VirtualBox VBoxC.dll i VBoxRT.dll wraz ze sterownikiem VirtualBox VboxDrv.sys.

Następnie skrypt zatrzymuje usługę Wykrywania sprzętu powłoki Windows, aby wyłączyć funkcję powiadamiania AutoPlay, i usuwa kopie woluminów w tle komputera, po czym skanuje wszystkie dyski lokalne, podłączone dyski wymienne i zmapowane dyski sieciowe.

Plik wsadowy przechodzi również przez listę 50 procesów (głównie aplikacji biznesowych, baz danych, aplikacji do zdalnego zarządzania i tworzenia kopii zapasowych) i przerywa je, aby zapewnić, że powiązane z nimi pliki są odblokowane i dostępne do szyfrowania. Lista ukierunkowanych procesów jest przechowywana w pliku tekstowym i towarzyszy jej lista (również przechowywana w pliku tekstowym) nazw usług dostosowanych do środowiska sieciowego organizacji ofiary. Następnie skrypt uruchamia maszynę wirtualną z działającym programem ransomare jako vrun.exe.

Maszyna wirtualna ma 256 MB pamięci RAM, jeden procesor, pojedynczy plik HDD 299 MB micro.vdi i kartę sieciową Intel PRO / 1000 podłączoną do NAT. Uruchomione w nim oprogramowanie ransomware jest „kompilowane dla każdej ofiary oddzielnie, ponieważ notatka okupu zawiera dane ofiary”, wyjaśnia Sophos.

Skrypt montuje również udostępnione dyski skonfigurowane w pliku micro.xml na maszynie hosta, aby oprogramowanie ransomware mogło uzyskać dostęp do wcześniej wyliczonych dysków lokalnych oraz mapowanych dysków sieciowych i wymiennych bezpośrednio z gościnnej maszyny wirtualnej. Działające w wirtualnej maszynie gościa proces i zachowanie oprogramowania ransomware są poza zasięgiem oprogramowania zabezpieczającego na maszynie hosta. Zasadniczo dane na dyskach i na fizycznym komputerze są atakowane przez VboxHeadless.exe, oprogramowanie do wirtualizacji VirtualBox.