Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Data: 10.02.2020 16:05

Autor: ziemianin

borncity.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #Gigabyte #RobbinHood #malware #ransomware #exploit #sterownik #hakerzy #cyberbezpieczenstwo

Ransomware o nazwie RobbinHood wykorzystywał lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli.

Ransomware RobbinHood wykorzystuje do ataku lukę w sterowniku Gigabyte

Zdaniem firmy Sophon, która zajmuje się cyberbezpieczeństwem, ransomware o nazwie RobbinHood wykorzystuje lukę w oficjalnych sterownikach Gigabyte do infekowania komputerów i przejmowania nad nimi kontroli. Proceder działać ma na systemach Windows 7 lub nowszych i pomimo faktu, że tajwański producent w przeszłości zaprzeczał twierdzeniom o podatności swojego sterownika na ataki, to jednak zdaniem Sophos grupa hakerów wykorzystuje tego exploita. Gigabyte niewątpliwie ponosi przynajmniej częściową odpowiedzialność za pierwotne zbywanie doniesień o luce w 2018 roku, kiedy to specjaliści ds. bezpieczeństwa informowali o zagrożeniu. Koniec końców, presja opinii publicznej sprawiła, że producent potwierdził istnienie luki, ale zamiast ją załatać w starszych płytach głównych, firma zdecydowała się zakończyć wsparcie dla tego sterownika. Teraz użytkownicy zaś płacą tego cenę, gdyż Gigabyte umożliwił hakerom wykorzystanie tego drivera do przeprowadzenia ataków.

Zdaniem Sophos, odpowiedzialna jest także firma Verisign, która zajmuje się przyznawaniem certyfikatów bezpieczeństwa. Dwa lata po tym jak Gigabyte zaprzestał wsparcia dla felernego sterownika, wciąż oznaczony jest on w systemach Windows i wielu programach antywirusowych jako „zaufany”, a to właśnie za sprawą certyfikatu Verisign. Atakujący mogą więc skorzystać z drivera do modyfikacji kernela Windows i wyłączenia programów antywirusowych oraz innych zabezpieczeń przed złośliwym oprogramowaniem, przejmując tym samym kontrolę nad naszą maszyną. Sophos podkreśla także unikalny charakter programu ransomware wykorzystywanego w tym przypadku. Firma twierdzi, że dotychczas nie spotkała się z tego typu oprogramowaniem wykorzystującym zaufany sterownik do przeprowadzenia ataku, mającego na celu uśmiercenie antywirusów.

Większość aplikacji bezpieczeństwa posiada swoistą listę "zaufanych programów” dopuszczanych domyślnie przy wszystkich instalacjach. Jest to kompromis, dzięki któremu unikają one zbyt dużej liczby programów blokowanych przypadkiem przez użytkowników. Niemniej jednak, twórcy złośliwego użytkowania coraz częściej wykorzystują te listy do swoich celów. Jeśli zaś uda im się przekonać antywirusa, że ich malware jest jednym z programów z listy, mogą później praktycznie dowolnie wykorzystać nasz sprzęt. Jak zaś pokazuje przypadek RobbinHood, nawet jeśli nasz OS jest w pełni zaktualizowany i załatany, hakerzy wciąż mogą znaleźć luki na naszym komputerze, które następnie wykorzystują do swoich celów. Tym samym, Sophos podkreśla jak istotne jest poleganie nie tylko na jednym programie antywirusowym czy przestrzeganie pewnych praktyk, takich jak korzystanie domyślnie z konta z ograniczonym dostępem, robienie regularnych kopii bezpieczeństwa czy ustawianie dwustopniowej weryfikacji.

O ransomware w polskich gminach, czyli historie z happy endem i bez

Data: 27.01.2020 17:48

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #malware #ransomware #zlosliweoprogramowanie #cyberbezpieczenstwo #komputery

Co szyfruje komputery w polskich gminach i firmach? Dlaczego z reguły danych nie można odzyskać, czasem jednak można i dlaczego jest to takie trudne? Na te pytania odpowie dzisiaj przedstawiciel zespołu CERT Polska.

O ransomware w polskich gminach, czyli historie z happy endem i bez

Ransomware nie trzeba większości Czytelników przedstawiać. Oprogramowanie to szyfruje dane i wymusza okup – opłatę za odszyfrowanie. Z roku na rok coraz więcej osób zdaje sobie sprawę z zagrożenia i z konieczności obrony. Mimo tego sytuacja się nie poprawia. Coraz więcej osób pada ofiarą ataku. Sytuacja jest szczególnie dramatyczna w małych firmach lub organizacjach, które nie mają środków na zapewnienie bezpieczeństwa IT na odpowiednim poziomie.

Jako CERT Polska często się z tym spotykamy – np. w przypadku gmin, szpitali, szkół itp. W miarę możliwości staramy się takim organizacjom pomagać, ale zazwyczaj jedyne, co można zrobić, to przywrócenie backupu. Gorzej, jeśli go nie ma… albo został zaszyfrowany razem z danymi. W tym artykule skupimy się na tym, dlaczego danych nie można odzyskać, czemu czasami się da oraz w jaki sposób przygotować się na atak ransomware.

Założenia działania ransomware

Przede wszystkim należy podkreślić jedną rzecz: poprawne użycie kryptografii gwarantuje, że zaszyfrowane dane nie będą mogły zostać odszyfrowane bez klucza deszyfrującego, znajdującego się w posiadaniu przestępców. Stosowane algorytmy są w tym momencie w 100% bezpieczne i bez względu na przypadek użycia (czy to bezpieczne połączenia z serwerem, czy szyfrowanie dysków ofiar) są odporne na wszelkie próby złamania.

Zazwyczaj nawet posiadając wszelkie materiały w postaci oryginalnej próbki złośliwego oprogramowania, wykonanej analizy powłamaniowej oraz z błogosławieństwem Shamira nie będziemy w stanie odzyskać zaszyfrowanych plików.

Detale techniczne

Ransomware regularnie chwali się, że używa różnych “wojskowych” (military grade) algorytmów szyfrowania – najczęściej są to AES i RSA. Można się zastanawiać, czemu jeden nie wystarczy?

Odpowiedzią jest natura ich działania. AES (Advanced Encryption Standard) jest przykładem algorytmu szyfrującego symetrycznie. W skrócie, oznacza to, że szyfrowanie i deszyfrowanie danych odbywa się za pomocą tego samego klucza. Jeśli więc przestępca chce szyfrować pliki tylko za pomocą AES, to musi wysłać wygenerowane klucze na swój serwer, aby móc potem żądać za nie okupu. To problematyczne dla przestępcy, bo musi utrzymywać infrastrukturę, za którą trzeba płacić i która może być w każdym momencie zdjęta albo przejęta. Dodatkowo infekcja nie uda się w przypadku problemów sieciowych.

Z pomocą przychodzi RSA. W przeciwieństwie do AES jest to szyfr asymetryczny. Do szyfrowania i deszyfrowania wykorzystywane są dwa matematycznie powiązane klucze – publiczny i prywatny. Jak sama nazwa wskazuje, jeden z nich jest publicznie znany, a drugi zna tylko właściciel. Dzięki matematycznym czarom właściwościom za pomocą klucza publicznego możemy dowolnie szyfrować dane, ale deszyfrować możemy je tylko za pomocą klucza prywatnego

Tak naprawdę w przypadku RSA to, który klucz nazywamy publicznym, a który prywatnym, to trochę kwestia umowna. Można też np. szyfrować dane kluczem prywatnym, a deszyfrować kluczem publicznym. Ma to nawet zastosowania praktyczne, np. w przypadku podpisów kryptograficznych.

Dlaczego w takim razie używać dwóch algorytmów zamiast samego RSA? Odpowiedź jest prosta – kryptografia asymetryczna jest bardzo kosztowna obliczeniowo. Zaszyfrowanie całego dysku tym algorytmem zajęłoby dziesiątki godzin. Popularnym sposobem jest zatem szyfrowanie właściwych danych za pomocą AES z wygenerowanym losowo kluczem, a następnie zaszyfrowanie tego klucza za pomocą publicznego klucza RSA. Działa tak większość programów szyfrujących większe ilości danych, w tym na przykład GPG.

Case study 1: Szczęście sprzyja lepszym szczęśliwym

Z drugiej strony, poprawne użycie algorytmów kryptograficznych przez programistę nie jest takie proste, jak się wydaje. AES i RSA to tylko niskopoziomowe bloki, które trzeba umieć odpowiednio połączyć, aby stworzyć kompletny program. Na szczęście (dla nas) twórcy ransomware to też ludzie i zdarza im się pomylić. Dzięki temu czasami udaje się stworzyć narzędzie deszyfrujące pliki bez płacenia (tzw. dekryptor). Pokaźną kolekcją takich dekryptorów zarządza organizacja NoMoreRansom.

Kilka tygodni temu trafił nam się właśnie taki przypadek. Otrzymaliśmy z gminy Kościerzyna próbkę złośliwego oprogramowania i komplet zaszyfrowanych plików. W toku analizy okazało się, że ta próbka należy do mało znanej odmiany ransomware (rodzina Mapo). Był to pierwszy dobry znak – im starsza i bardziej popularna rodzina, tym większa szansa, że patrzyła na nią wcześniej już rzesza analityków i nasza kolejna analiza nic nie da. I odwrotnie – nowe i mało znane rodziny są wdzięcznym tematem do analizy i dają nadzieję na odzyskanie plików.

Tak też było w tym przypadku – udało się napisać dekryptor i odszyfrować gminę (a także parę innych prywatnych podmiotów, które się do nas zgłosiły – to niekoniecznie standard na świecie, ponieważ CERT-y poziomu krajowego często nie przyjmują zgłoszeń od prywatnych podmiotów). Trzeba jednak zaznaczyć, że to wyjątek, a nie reguła i zazwyczaj nie można liczyć na to, że komuś uda się napisać dekryptor.

Case study 2: Kiedy wyszło jak zwykle

Trochę inna sytuacja miała miejsce parę tygodni później (tym razem nie możemy niestety podać nazwy gminy). Był to ciekawy przypadek. Rodzina złośliwego oprogramowania, która zaszyfrowała zasoby, była już badaczom dobrze znana. Konkretna próbka użyta w ataku miała jednak dosyć dziwny sposób generowania klucza. Zamiast skorzystać z losowych danych dostarczanych przez system, autor postanowił opracować własny sposób generowania losowych kluczy do szyfrowania plików. Generowanie klucza zależało od stanu kilku różnych zegarów systemowych. Z pomocą dobrze przeprowadzonej analizy powłamaniowej istniałaby możliwość odzyskania kluczy do szyfrowania plików… Niestety podczas obsługi incydentu po stronie gminy wykonano kilka pochopnych działań. Najgorszym z nich było zrestartowanie komputera, przez co:

stracony został dokładny stan zegarów systemowych (które mogłyby pomóc w odzyskaniu klucza),

klucze szyfrujące, które ciągle mogły być w pamięci procesu, zostały wymazane,

ransomware zadbało o ponowne uruchomienie się przy restarcie systemu i zaczęło szyfrować kolejne pliki za pomocą nowo wygenerowanych kluczy.

Co zrobić lepiej

Oczywiście, jak w przypadku większości zagrożeń, najlepszą metodą jest atak profilaktyka. O wiele lepiej jest w ogóle nie doprowadzić do zaszyfrowania naszych dysków, niż liczyć na szczęście i szukać dziur w algorytmie szyfrowania.

Jak ustrzec się przed ransomware:

Stale edukuj swoich użytkowników. Nawet najlepsze techniczne zabezpieczenia nie pomogą, jeśli Twoi użytkownicy nie będą przestrzegać podstawowych zasad bezpieczeństwa.

Wykonuj regularnie kopię zapasową istotnych danych. Zadbaj o to, by co najmniej jedna kopia zapasowa była przechowywana na odizolowanym systemie, niedostępnym z maszyn, których kopie przechowuje.

Zadbaj o odpowiednią architekturę sieci. Wyodrębnij odpowiednie segmenty, zwróć szczególną uwagę na to, jakie usługi dostępne są pomiędzy poszczególnymi maszynami oraz z internetu.

Na bieżąco aktualizuj system operacyjny oraz oprogramowanie.

Używaj aktualnego oprogramowania antywirusowego na serwerze poczty oraz stacjach roboczych.

Ratunku, zaszyfrowałem się

Zdarza się nawet najlepszym. Co zrobić, żeby zwiększyć szanse na odzyskanie danych?

W przypadku ataku ransomware:

Jak najszybciej odizoluj zarażone maszyny od reszty sieci – odłącz je od wszelkich połączeń sieciowych (przewodowych i bezprzewodowych) oraz urządzeń do przechowywania plików (dyski przenośne i podobne).

W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja.

Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu).

Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom note albo zaszyfrowany plik.

Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.

Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z https://incydent.cert.pl. W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.

Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu.

Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc. UWAGA: Większość „firm od odzyskiwania danych” to oszustwo. Danych zazwyczaj nie da się odzyskać bez płacenia, więc takie firmy działają tylko jako pośrednicy między przestępcami a ofiarami (negocjują zniżkę, a później biorą swoją prowizję). Nie warto się na to nabierać – jak już dawać się okraść, to tylko raz na infekcję ;)

Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania).

Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych

Data: 13.01.2020 19:54

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #atak #PulseSecure #ransomware #Sodinokibi #Travelex

Cyberprzestrzeń nie lubi pustki. Po zakończeniu świadczenia usługi Ransomware-as-a-Service GrandCrab, pojawia się nowa usługa, nowy malware, jeszcze groźniejszy, jeszcze skuteczniejszy. Każdy ma coś do stracenia – tę zasadę wykorzystują przestępcy.

Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych

Nauczeni doświadczeniem specjaliści bezpieczeństwa coraz skuteczniej wdrażają mechanizmy ochrony (a w zasadzie odzyskiwania danych) na wypadek ataku ransomware. Przestępcy zauważyli, że ofiary nie chcą płacić. Skuteczne uruchomienie procedur odzyskiwania („Disaster Recovery”) sprawia, że przestępcy musieli znaleźć inny sposób czerpania zysków ze swojej działalności. Jest to kolejny przypadek, w którym stawką jest nie tylko odzyskanie danych, by zapewnić utrzymanie ciągłości działania firmy, ale także ochrona ich poufności.

Zaufana Trzecia Strona - „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Data: 09.01.2020 00:56

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #Wlamania #Zlosniki #Maze #ransomware #ryuk #Suthwire #WorldHostingFarmLimited

Autorzy ransomware najwyraźniej zauważyli możliwość zwiększenia konwersji swoich przymusowych klientów – oprócz szyfrowania danych zaczęli je wykradać i grozić upublicznieniem. Jedna grupa nawet założyła w tym celu własny serwis WWW.

Zaufana Trzecia Strona – „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Rok 2019 przyniósł istotne zmiany w krajobrazie ataków ransomware. Coraz częściej widzimy na polskim rynku i poza nim ataki wycelowane w przedsiębiorstwa. Nazwy takie, jak Ryuk, LockerGoga, MegaCortex, Maze czy RobbinHood, budzą niemiłe wspomnienia niejednego prezesa. W ostatnim roku część przestępców porzuciła szyfrowanie dysków osób prywatnych i skoncentrowała się na działalności b2b. Rozpoznają biznes ofiary, szacują potencjalne straty, zdobywają uprawnienia administratora domeny i uruchamiają procedury szyfrowania jednocześnie na setkach lub tysiącach stacji roboczych i serwerów. Odpowiednio do większego wysiłku, który wkładają w swoją działalność, zwiększyli także kwoty oczekiwanych okupów. Stawki zaczynają się od 100 000 – 200 000 PLN, ale widzieliśmy też takie po kilka milionów. Cześć organizacji płaci, część odzyskuje z backupów – i ta druga grupa jest głównym problemem przestępców. Przestępcy postanowili ten problem zaadresować w ciekawy, choć niepokojący sposób.

ciąg dalszy na stronie źródła

Ransomware na Androida rozprzestrzenia się dzięki symulatorowi seksu

Data: 02.08.2019 09:33

Autor: ziemianin

ithardware.pl

#wiadomosci #codziennaprasowka #android #malware #wirus #ransomware #apk #FilecoderC

W przypadku instalacji oprogramowania z nieznanych źródeł trzeba zachować wzmożoną czujność, zwłaszcza w przypadku aplikacji ze stron o symulatorze seksu ;)

Ransomware na Androida rozprzestrzenia się dzięki symulatorowi seksu

Wiele osób przechowuje ważne pliki na urządzeniach mobilnych, nie myśląc nawet o utworzeniu kopii zapasowej na komputerze. To sprawia, że ​​ich telefony są atrakcyjnym celem oprogramowania ransomware, a teraz pojawił się nowy atak na telefony z Androidem. Nowe złośliwe oprogramowanie Android Filecoder.C wykorzystuje dość specyficzne strony reklamujące "symulator seksu", aby nakłonić ludzi do pobrania programu. Osoby, które tego dokonają, mogą stracić dużo więcej niż tylko kilka chwil na zadanie sobie pytania "co ja robię na tej stronie?". Filecoder.C pojawiło się po raz pierwszy na forach Reddit i XDA pod postacią spamerskich wiadomości, kierujących ludzi do wspomnianego symulatora seksu. Co jednak bardzo ciekawe, ludzie faktycznie klikali w te reklamy i pobierali aplikację. Potęga seksu jest niesamowita i pokazuje jak ludzie potrafią wyłączyć myślenie. Drugim sposobem rozprzestrzeniania są wiadomości tekstowe.

Android ma bardziej niezawodny system kontroli niż Windows, co uniemożliwia instalowanie aplikacji w tle, podczas odwiedzania złośliwej witryny. Dlatego jedynym sposobem na zarażenie się Filecoder.C jest pobranie pliku .apk, ominięcie ostrzeżenia pobierania, uruchomienie instalatora i włączenie instalacji z nieznanych źródeł. Pomimo tylu ostrzeżeń, ludzie wciąż kontynuują instalację ransomware na swoich urządzeniach. Po instalacji Filecoder.C przeszukuje smartfona w poszukiwaniu dokumentów, zdjęć, filmów i różnych innych plików. Szyfruje je i generuje parę kluczy prywatny-publiczny. Klucz prywatny zostaje przesłany na zdalny serwer, a klucz publiczny pozostaje na urządzeniu. W przeciwieństwie do niektórych innych tego typu programów, Filecoder.C nie blokuje całego urządzenia i nie dotyka plików apk. Sugeruje to, że został stworzony na podstawie komputerowego ransomware, takiego jak WannaCry.

Jak zwykle w przypadku oprogramowania ransomware, program wyświetla informację gdzie dokonać płatności i wyjaśnia że dane zostały zaszyfrowane. Jedynym sposobem na odblokowanie plików jest zapłacenie w bitcoinach – w tym przypadku kwota jest generowana losowo i wynosi od 94 do 188 dolarów. Złośliwe oprogramowanie obiecuje po uiszczeniu opłaty przesłać klucz prywatny, w celu odszyfrowania. W międzyczasie Filecoder.C wysyła również wiadomości SMS do wszystkich kontaktów ofiary. Program ma zakodowane na stałe 42 języki i wybiera ten, który pasuje do ustawienia języka urządzenia. Póki co nie ma jasnej instrukcji odzyskania zaszyfrowanych plików, bez płacenia.