Ransomware stoi na czele listy zagrożeń dla systemów IT.
Od początku 2016 roku widzieliśmy ogromny wzrost zarówno różnorodności jak i częstotliwości ataków tego typu. W tym cyklu artykułów opisujemy wszystko, co musisz wiedzieć o Ransomware, jak chronić swoje komputery przed zagrożeniem i co zrobić, jeśli już stałeś się ofiarą tego szkodnika.
W pierwszej części przedstawiliśmy ogólnie czym jest ransomware i w jakich kierunkach zmierza jego rozwój. Dzisiaj zajmiemy się sposobem działania.
Jak działa ransomware?
Ilość infekcji ransomware rośnie w szybkim tempie. W związku z tym organizacje kierują coraz więcej uwagi i środków finansowych na działania, mające na celu podniesienie bezpieczeństwa systemów IT.
Aby to osiągnąć, trzeba zrozumieć jak ransomware działa i co musi się stać, by do infekcji doszło.
W następnych akapitach omówimy poszczególne etapy infekcji, rozpoczynając od dróg, którymi ransomware jest rozsyłany i kroków, jakie możemy podjąć, aby zredukować zagrożenie.
Etapy ataku ransomware
Dostarczenie
Do infekcji dochodzi zazwyczaj na dwa sposoby: poprzez otwarcie niebezpiecznego załącznika lub kliknięcia linka zawartego w wiadomości email lub poprzez uruchomienie exploit-kita umieszczonego na spreparowanej stronie WWW.
Wykonanie (obejście zabezpieczeń, poszukiwanie plików do szyfrowania, rozsyłanie kopii szkodnika)
Autorzy RansomWare często wykorzystują różne techniki, aby ich programy prześlizgnęły się przez kontrolę bezpieczeństwa antywirusowego niezauważone. Gdy już znajdzie się na maszynie, ransomware przeszukuje system plików do zaszyfrowania. Niektóre atakują pliki tylko konkretnego typu (na przykład: .docx, .xlsx, itd.). Niektóre mogą również rozprzestrzeniać się na dyskach sieciowych, co wystawia inne komputery i systemy podłączone do pierwszej ofiary na ryzyko.
Szyfrowanie
W wielu przypadkach proces szyfrowania zajmuje kilka minut lub nawet sekund. Pliki stają się niedostępne i często otrzymują zmienione rozszerzenia. Czasami po rozszerzeniu możemy poznać z jaką infekcją mamy do czynienia.
Żądanie okupu
Gdy tylko szyfrowanie się zakończy, wyświetlany jest ekran blokady lub ekran z żądaniem okupu. Informuje on, że ofiara ma X czasu na zapłacenie okupu w wysokości Y (zazwyczaj w postaci krypto-waluty Bitcoin) w zamian za klucz deszyfrujący. Po upływie czasu, kwota okupu wzrośnie lub dane zostaną bezpowrotnie zniszczone.
Jak rozpoczyna się infekcja?
W jaki sposób ransomware w ogóle dostaje się do komputera?
Krótko mówiąc: albo za pośrednictwem wiadomości phishingowych lub z wykorzystaniem exploit-kitów.
Owszem, można sobie wyobrazić, że pracownik podpina pod USB pendrive’a znalezionego na spacerze z psem, ale póki co, dwie podstawowe drogi zakażenia to email i strony zawierające niebezpieczny kod. Zobaczmy dokładniej jak to przebiega.
Kanał dostaw nr 1: Email
Dlaczego email?
Dla cyberprzestępców, email stanowi bezpośredni sposób dotarcia do najsłabszego ogniwa zabezpieczeń w sieci firmy, czyli do pracowników. Wysyłając emaile wyglądające na pochodzące od zaufanych nadawców (np. banki, operatorzy komórkowi, firmy spedycyjne i kurierskie), twórcy ransomware mają nadzieję na skłonienie odbiorcy do otworzenia zainfekowanego załącznika, albo do kliknięcia w link prowadzący do zarażonej strony WWW.
Ta taktyka nazywa się phishingiem (atakujący usiłuje “złowić” ofiary podsuwając im przynętę, np. w postaci super hiper rabatu na smartfona). Niestety, jak wynika z raportu firmy Verizon, emaile phishingowe mają open-rate (czyli współczynnik otwarcia) na poziomie 30%.
Czyli mowa o wiadomościach SPAM?
Niekoniecznie. Owszem, czasem otrzymuje się oczywiste wiadomości SPAM od “nigeryjskiego księcia”, ale prawda jest taka, że dzisiejsze wiadomości phishingowe są zaskakująco wyrafinowane.
Zacznijmy od tego, że są bardziej przekonujące. Napastnicy poświęcają czas, aby zdobyć tyle informacji na temat ofiary, aby móc spersonalizować treść maila na potrzeby konkretnego odbiorcy. Np. Zaledwie kilka minut na LinkedIn może dostarczyć atakującemu nazwę firmy lub listę znajomych, do których mogą odwoływać się, aby być bardziej przekonujący.
Ten rodzaj ukierunkowanego ataku phishing określany jest jako spear phishing (bo atak skierowany jest do określonej osoby lub grupy).
W jaki sposób wiadomości phishingowe dostarczają ransomware?
Są dwa główne sposoby:
- Złośliwe załączniki
- Linki do złośliwych lub zainfekowanych stron WWW
Póki co, otwarcie wiadomości phishingowej nie jest równoznaczne z infekcją. Atakujący wymagają od użytkownika jeszcze jednej operacji – albo otwarcia załącznika albo kliknięcia na link, który przeniesie go na zakażoną stronę.
Drugi sposób omówimy dokładniej, jak będziemy mówić o exploit-kitach. Ale najpierw zobaczmy jak atakujący ukrywają ransomware w załącznikach.
W jakich typach załączników może ukrywać się ransomware?
Sukces ataków phishingowych ransomware zależy od przekonania ofiary, że każdy element emaila jest prawdziwy. Osoba atakująca może dołożyć ogromnych starań tworząc wiadomość, wyglądającą na wysłaną przez kogoś znanego i zaufanego. Jeżeli jednak załącznik będzie budził podejrzenia, cała operacja może się nie udać.
Aby uniknąć podejrzeń, atakujący ukrywają zazwyczaj kod ransomware w załącznikach typów, których spodziewamy się otrzymać – najczęściej są to pliki MS Office (pliki Worda, Excela, PowerPointa) oraz pliki PDF.
Te pliki mogą udawać faktury, umowy, pisma urzędowe i inne.
Pliki MS Office są popularne wśród autorów ransomware, ponieważ pozwalają na wykorzystywanie makr (fragmentów kodu, umożliwiających tworzenie nowych funkcji). W ten sposób możliwe jest uruchomienie i wykonanie kodu infekującego bez wiedzy użytkownika.
Wskazówka
Jeśli jest to możliwe, dobrym pomysłem jest zmiana domyślnych ustawień w MS Office i wyłączenie makr. W ten sposób można zapobiec wykonaniu kodu ransomware.
Firma Microsoft wydała dokument, który opisuje, jak to zrobić
Od pewnego czasu, napastnicy zaczęli używać załączników JavaScript. Jest to o tyle niebezpieczne, że skrypty JS mogą właściwie to samo co normalne aplikacje, bez ściągania uwagi na pliki wykonywalne .exe. Łatwe jest również ukrycie rozszerzenia pliku i sprawienie, by wyglądał jak normalny plik txt lub coś innego, równie nieszkodliwego.
Jak powstrzymać ransomware rozsyłane poprzez email?
Nie jesteś w stanie powstrzymać napastników od rozsyłania wiadomości phishingowych, ale możesz włączyć kontrolę bezpieczeństwa, która a) zmniejszy ryzyko, że użytkownik złapie przynętę i b) powstrzyma ransomware od wykonania szkodliwego kodu.
Metoda ochrony: filtrowanie poczty
Aktywne filtrowanie typów załączników email, które są potencjalnie niebezpieczne i nie są powszechnie używane lub konieczne w codziennej pracy, nie wymaga dużo pracy, a pozwala zmniejszyć ryzyko. Niestety, cyber-przestępcy wymyślają coraz nowsze sposoby na przesłanie złośliwego kodu w plikach, które przedostaną się przez tą linię obrony. Dlatego też filtrowanie poczty dalekie jest od kompleksowego rozwiązania.
Czy wiesz że?
74% ofiar ransomware stosowało filtrowanie poczty w momencie ataku. 100% z nich korzystało z antywirusa.
Ransomware niestety potrafi obchodzić zabezpieczenia takie jak Antywirus czy filtrowanie email.
Poniższy obraz prezentuje odsetek ofiar Ransomware stosujących systemy zabezpieczeń:
Metoda ochrony: Szkolenia pracowników
Nauczenie użytkowników, jak rozpoznać i reagować na podejrzane emaile, może pomóc w przekształceniu ich z głównego zagrożenia w pierwszą linię obrony.
Szkolenie użytkowników w zakresie świadomości zagrożeń jest procesem długotrwałym, wymaga od nich zaangażowania w działania podnoszące bezpieczeństwo firmy. Ale nawet wtedy nie ma gwarancji, że użytkownicy nigdy nie popełnią błędu. Oznacza to, że zawsze trzeba mieć gotowe procedury na wypadek, gdyby któryś z pracowników klikną w coś w co nie powinien, Więcej na ten temat powiemy z rozdziale Jak powstrzymać infekcję ransomware.
Kanał dostaw nr 2: Exploit-kit
Czym różni się infekcja za pomocą expliot-kit od infekcji poprzez email?
Największą różnicą jest to, że przy dostawie email, to atakujący musi skłonić użytkownika do pobrania i otwarcia zarażonego pliku. W przypadku exploit-kitów infekcja następuje automatycznie, bez udziału użytkownika. Wystarczy, że wejdzie na zainfekowaną stronę WWW.
Jak działa exploit-kit?
Exploit-kit jest to narzędzie wykorzystywane przez przestępców do infekowania stacji roboczych, poprzez wykorzystywanie luk w zabezpieczeniu przeglądarek, systemów operacyjnych oraz innych programów (najczęściej takich jak Adobe Flash czy Java).
Użytkownik odwiedzający zainfekowaną stronę zostaje sprawdzony przez Exploit Kit, który skanuje przeglądarkę i/lub inne oprogramowania, żeby wykryć potencjalne ścieżki ataku (przykład: sprawdza czy wykorzystywana wersja przeglądarki jest aktualna i z której strony może zaatakować). Jeżeli uda się wykryć lukę w oprogramowaniu, wykorzystuje go do przetransportowania zagrożenia na nasz komputer.
Jak powstrzymać ransomware rozsyłany przez zainfekowane strony?
Znów musimy skupić się na kwestiach, na które mamy wpływ. Exploit-kity wykorzystują luki i błędy w oprogramowaniu i pierwszą rzeczą jaką należy się zająć to zadbanie o regularną aktualizację oprogramowania.
Metoda ochrony: zarządzanie aktualizacjami
Właściwe zarządzanie aktualizacjami, szczególnie w dużych sieciach firmowych, może pochłaniać bardzo dużo czasu i zasobów. Na szczęście większość exploit-kitów wykorzystuje najpopularniejsze luki. Następujące luki są w TOP 10: CVE-2016-0189, CVE-2016-1019, CVE-2016-4117, CVE-2015-8651,CVE-2016-0034, CVE-2016-1010, CVE-2014-4113, CVE-2015-8446, CVE-2016-3298, CVE-2015-7645. Dodatkowo warto załatać dziury najpopularniejsze w 2016 roku: CVE-2001-0876, CVE-2011-0877, CVE-2002-0953, CVE-2001-0680, CVE-2012-1054, CVE-2015-0204, CVE-2015-1637, CVE-2003-0818, CVE-2002-0126, CVE-1999-1058 (odpowiadały one za 85% wszystkich udanych włamań).
Po zakończeniu instalacji patchy na powyższe zagrożenia. Postaraj się jak najszybciej wdrożyć strategię zarządzania aktualizacjami. Najlepiej jak najbardziej zautomatyzowaną.
Metoda ochrony: Instalacja ad-blockera
Ad-blokery blokują wyświetlanie reklam. Mogą ochronić użytkowników przed złośliwymi reklamami (malvertising), które mogą pochodzić nawet z zaufanych i szanowanych witryn.
Jak ransomware unika wykrycia i jak rozprzestrzenia się infekcja
Dlaczego mój program antywirusowy nie wykrył zagrożenia?
Oprogramowanie antywirusowe standardowo skanuje pliki i porównuje je z bazą sygnatur znanych zagrożeń. To podejście jest bardzo skuteczne przy zwalczaniu znanych zagrożeń. Niestety jest nieskuteczne w przypadku nowych zagrożeń lub starych ale zmodyfikowanych. Hakerzy stosują następujące sposoby na oszukanie programów antywirusowych:
- polimorfizm – to umiejętność malware do mutacji, zmiany swojej nazwy i sygnatury,
- cryptory i obfuscatory – narzędzia służące do zmiany “wyglądu” pliku, aby udawał plik bezpieczny
- transport bezplikowy – np. przez bezpośrednie wpisy w rejestrze Windows.
Co się dzieje po załadowaniu zagrożenia na komputer?
Konkretne działania różnią się w zależności od zagrożenia. Ogólnie mówiąc, po uruchomieniu, ransomware skanuje dyski pod kątem plików do zaszyfrowania i je szyfruje. Niektóre warianty atakują tylko konkretne typy plików, niektóre atakują również dyski sieciowe, a jeszcze inne potrafią usunąć migawki ShadowCopy, aby uniemożliwić odtworzenie systemu.
Czy wiesz, że?
Zaszyfrowanie plików zajmuje od kilku sekund do kilku minut.
Po zakończeniu szyfrowania, ransomware tworzy informację dla użytkownika, co właśnie się stało. Często jest to plik .txt otwarty w notatniku, strona WWW lub okienko blokujące ekran. Zawiera on informacje o kwocie okupu i sposobie jego zapłacenia.
W kolejnej części omówimy sposoby ochrony przed ransomware