Emotet pokazał siłę targetowanego ransomware'u. "Połowa ofiar płaci" - potwierdza ekspert z Sophos
Cyberprzestępcy zmieniają swoje sposoby ataku. Dziś na topie jest "targeted ransomware", czyli wyrafinowane ataki wymierzone w skrupulatnie wybrane firmy. Oszuści nie szyfrują wszystkiego, co napotkają na swojej drodze. Najpierw usuwają kopie zapasowe, dezaktywują konta administratorów i szyfrują tylko wybrane, najważniejsze dane. O nowym trendzie rozmawiam z Chetem Wisniewskim z Sophos, działającej od 1985 r. firmy zajmującej się bezpieczeństwem danych.
Bolesław Breczko, dobreprogramy.pl: Jakie są najnowsze trendy wśród cyberprzestępców? Chet Wisniewski, Sophos: Najbardziej popularne są cały czas ataki typu ransomware - szyfrowanie danych dla okupu. Zmieniają się natomiast cele i metody działania. Przestępcy biorą na celownik średnie firmy. Te małe zazwyczaj nie mają pieniędzy na zapłacenie okupu, a strata plików nie jest dla nich tak bolesna. Te duże mają często dobre zabezpieczenia. Te średnie okazują się stosunkowo łatwym celem, jak i wystarczająco "smacznym kąskiem".
A jak zmieniają się metody działania? Przestępcy zaczęli stosować tzw. targeted ransomware, czyli nie polegają już na automatycznym rozsyłaniu wirusów do wszystkich, tylko precyzyjnie wybierają cele. Rosnącym trendem jest atakowanie dostawców usług IT. Średnim firmom często nie opłaca się mieć własnych działów IT i wynajmują je na zewnątrz. Oznacza to, że np. jedna taka firma ma dostęp do sieci, komputerów i danych kilkunastu lub kilkudziesięciu firm.
Były już takie udokumentowane przypadki? Tak. Nie wiem, czy było o tym głośno w Polsce, ale właśnie w ten sposób w sierpniu 22 miasta w Teksasie w USA padły ofiarą ransomware. Służby i urzędnicy stracili dostęp do informacji o mieszkańcach, a przestępcy zażądali łącznie 2,5 mln dolarów za odszyfrowanie danych. W innym przypadku przestępcom udało się przełamać zabezpieczenia firmy PerCsoft, która specjalizuje się w usługach chmurowych dla gabinetów dentystycznych. Na skutek ataku około 400 gabinetów padło ofiarą ransomware.
Sophos oferuje podobne usługi. Czy to oznacza, że jesteście potencjalnym celem cyberprzestępców? Nie jesteśmy potencjalnym celem tylko faktycznym. Codziennie odnotowujemy próby włamania się do naszych systemów albo na konta użytkowników. Jeśli przestępcy udałoby się to zrobić, to mógłby wtedy po prostu wyłączyć zabezpieczenia w panelu sterowania.
Jaka jest zasadnicza różnica pomiędzy tymi atakami a linkami do wirusów, które praktycznie codziennie możemy znaleźć w naszych skrzynkach emailowych? Różnica jest taka, że to, co znajdujesz w swojej skrzynce, to spam rozsyłany automatycznie. Przestępcy nie specjalnie się nim interesują, bo ile mogą od ciebie wyciągnąć? Kilkaset euro? Może kilka tysięcy? Stawka zmienia się w przypadku zaatakowania firmy. Od niej żądają nawet kilku milionów. Po pierwsze są szanse, że ma takie środki, a po drugie będzie jej bardziej zależało na szybkim odszyfrowaniu danych i przywróceniu normalnego działania. Ale ataki na firmy muszą być dużo staranniej przeprowadzone, bo i ochrona jest zazwyczaj dużo lepsza niż prywatnych użytkowników, chociaż nie zawsze.
Ale przecież widzieliśmy już podobne działania, np. w przypadku WannaCry, który doprowadził do ogromnych strat w firmie Maersk. Co tutaj jest nowego? WannaCry działał automatycznie, rozprzestrzeniając się po sieci i szyfrując wszystko po drodze. W tych nowych działaniach nie ma automatyki, a ataki przeprowadzane są ręcznie w "starym stylu". Tego typu działania obserwujemy od około dwóch lat, a wszystko zaczęło się od irańskiej grupy SamSam. Atakowała firmy głównie w Stanach Zjednoczonej i Kanadzie, według naszych danych ponad 200 firm zapłaciło okup. Po naszym opisaniu tej grupy zajęło się nią FBI i przestała działać, chociaż osób odpowiedzialnych nigdy nie postawiono przed sądem. Ale trend pozostał i widzimy jego coraz nowsze odmiany. Teraz najpopularniejsze są grupy stosujące ransomware o nazwach gandcrab, ryuk i revil.
Jak działają te grupy? Zaczyna się od zainfekowania emotetem. Ten wirus sam w sobie nie jest bardzo niebezpieczny, chociaż wykrada treść emaili. Czasem jednak emotet instaluje na komputerze wirusa trickbot albo dridex, który wykrada loginy i hasła do banków. To, co nam wydało się dziwne, to że ofiary trickbota lub dridexa rzadko padają ofiarami gandcraba i ryuka. Według nas przestępcy ręcznie wybierają ofiary do zaatakowania ransomwarem.
Myślimy, że przestępcy mogą w pierwszej kolejności analizować adresy email. Jeśli widzą popularne domeny jak gmail.com czy wp.pl, to pewnie nie będą zawracać sobie głowy atakowaniem prywatnych osób. Jeśli widzą natomiast unikatową domenę firmy, to mogą się zainteresować przeprowadzeniem ataku.
Z naszego punktu widzenia wygląda to tak, jakby grupa kontrolująca emoteta "sprzedawała" swoje ofiary grupom od dridexa i trickbota, a te z kolei sprzedawały je jeszcze dalej ludziom od gandcraba i ryuka. Za każdym razem sito selekcji jest drobniejsze, a na końcu zostają najbardziej łakome kąski, które są atakowane ręcznie. Widzieliśmy takie schematy w przypadku innych grup, które zostały rozbite, więc podejrzewam, że w tym przypadku jest podobnie.
W marcu ofiarą takiego ataku padła firma z Kanady, która zatrudnia ok. 800 osób. Firma szczyci się tym, że dostarcza systemy klimatyzacyjne do salonów Apple. Steve Jobs wymyślił, że w jego sklepach musi panować, powiedzmy 21 stopni, ale nie może być "podmuchów wiatru", a same wiatraki mają być niesłyszalne. Tej firmie udało się dostarczyć odpowiedni sprzęt - i ją właśnie namierzyli przestępcy.
Jakich sum żądają? Sumy znaczenie urosły w ciągu minionego roku. Na początku było to po kilkadziesiąt tys. dolarów Teraz to nawet od 1 do 2 mln dolarów.
Jak trudno jest wykryć i powstrzymać tego typu przestępców? Dość trudno. Skala ich działalności jest mała. Atakują około 20 firm dziennie. My natomiast odnotowujemy w ciągu jednego dnia 450 tysięcy różnych ataków. W tej masie łatwo przeoczyć te 20 sztuk. Dlatego przez długi czas ci przestępcy pozostali niezauważeni. Drugą kwestią, która utrudnia ich wykrycie, jest całkiem sprytny sposób działania. Po tym, jak dostaną się do sieci firmy, przez kilka dni, albo tygodni siedzą cicho i skanują zasoby. Szukają plików, których zaszyfrowanie firma odczuje najdotkliwiej. Szukają baz danych SQL, systemów zarządzania ERP itp. Np. mieliśmy przypadek kancelarii prawniczej, w której zaszyfrowano tylko dokumenty prawne. To wystarczyło, żeby całkowicie "wyłączyć" firmę.
Są jeszcze poważne firmy, które nie robią kopii zapasowych? Zdziwiłbyś się jak wiele. Zresztą przestępcy potrafią znaleźć i skasować kopie zapasowe, jeśli są one podłączone do sieci. Wtedy pozostaje tylko odtworzenie danych z zasobów offline, o ile są dostępne. Ta te zazwyczaj nie są archiwizowane na bieżąco, tylko np. raz na miesiąc. Dla szybko działającej firmy takie miesięczne "cofnięcie się w czasie" też będzie kosztowne.
Jak sobie radzicie z tymi atakami? To duże wyzwanie. Do tej pory większość firm była atakowana automatycznie i do zabezpieczenia się wystarczyła automatyczna ochrona. Przed atakami wykonywanymi przez ludzi musiały się bronić przede wszystkim rządy, politycy, agenci wywiadu itp. Jeśli dodamy do tego fakt, że wirusy są często aktualizowane, to nie możemy polegać tylko na ochronie poprzez wykrywanie złośliwego kodu. Musimy szukać nienaturalnych zachowań.
W jaki sposób? Jeśli np. widzę, że program, który "przyszedł" z programu pocztowego nagle zaczyna zmieniać pliki na komputerze, to mogę podejrzewać, że jest to ransomware, który te pliki szyfruje. Musimy obserwować i monitorować zachowanie programów. Tylko w ten sposób możemy wykryć malware, którego wcześniej nie widzieliśmy.
Firmy płacą okup? Niestety z naszych obserwacji, że połowa ofiar płaci.
Czemu niestety? Bo dają tym samym zachętę przestępcom do dalszego działania. Dodatkowo sami przyklejają sobie łatkę ofiary, która płaci i narażają się na kolejne ataki. Zresztą zapłacenie okupu, to wcale nie koniec problemów. Chociaż przestępcy dbają o to, żeby odszyfrować dane, to nie zawsze udaje się to w stu procentach. Poza tym po ataku trzeba w całości wymazać systemy i postawić je od nowa. Nigdy nie wiadomo, czy przestępcy nie zostawili sobie backdoora. Szczerze mówiąc, zdziwiłbym się, gdyby tego nie robili. To tak jakbyś nie zmienił zamków po tym, jak ktoś dorobił sobie klucz do twojego domu i cię okradł.
W jakim stopniu tymi atakami zagrożone są polskie firmy? Najwięcej zaatakowanych firm pochodzi z USA i Kanady, ale także z Europy Zachodniej. Ale warto przyjąć zasadę, że wszystkie firmy, których obrót przekracza 10 mln euro rocznie, są zagrożone. Właśnie takie firmy najczęściej padają ofiarami gandcraba i ryuka.
